Come avviene ogni mese, Microsoft ha diramato il Security Bulletin Advance Notification con il quale comunica gli aggiornamenti che verranno distribuite martedì prossimo per Windows e gli altri software, tra cui Internet Explorer. Quello di giugno sarà il patch day più sostanzioso dell’anno in corso, in quanto l’azienda pubblicherà in totale sette bollettini che risolvono ben 28 vulnerabilità.
Tre dei sette aggiornamenti sono stati classificati come critici, il livello più elevato di pericolosità, e riguardano i sistemi operativi Windows, il browser Internet Explorer e il framework .NET. Il bollettino numero 2 interessa tutte le versioni del browser, dalla 6 alla 9. Per il bollettino numero 1 Microsoft ha adottato una classificazione anomala: la vulnerabilità viene considerata moderata per Windows 7 e critica per Windows 7 SP1. Lo stesso update riguarderà tutte le release di Windows Server, dalla 2003 alla 2008 R2, e probabilmente introdurrà modifiche per Terminal Services, il servizio che gestisce le licenze mediante certificati digitali, principale bersaglio del malware Flame.
L’avanzato strumento per lo spionaggio informatico sfrutta falsi certificati in modo tale da installare software nocivi nel sistema, ingannando Windows Update. Microsoft ha annunciato che cambierà il sistema di gestione dei certificati e aggiornerà l’infrastruttura Windows Server Update Services. Il 3 giugno è stato rilasciato un update (KB2718704) che risolve un problema relativo all’elenco di revoche di certifica e aggiorna l’elenco di certificati sui sistemi Windows.
Una delle patch per Internet Explorer chiuderà probabilmente la falla zero-day, scoperta durante il recente Pwn2Own, che permette di superare la modalità protetta del browser. Dei quattro bollettini classificati come importanti, due riguardano Windows, uno Visual Basic for Applications presente in Office 2003/2007/2010 e uno Dynamics AX 2012, un prodotto ERP di Microsoft.