Per chi utilizza sistemi operativi e applicativi Microsoft, il secondo martedì di ogni mese dell’anno significa: Patch Day. Come da tradizione, il colosso dell’informatica statunitense ha rilasciato quattro patch per correggere alcuni malfunzionamenti e bug ritenuti importanti e già anticipati negli ultimi giorni della scorsa settimana. L’update interessa principalmente le versioni Server e Vista di Windows e SQL Server.
La prima patch, in ordine di importanza, risolve quattro vulnerabilità nelle principali versioni di SQL Server, come le edizioni 7.0, 2000 e 2005, scongiurando la possibilità di una intrusione nei sistemi da parte di utenti non autorizzati, i quali avrebbero potuto assumere pieno controllo dell’ambiente software modificando impostazioni, opzioni, dati e installazioni. L’aggiornamento rende più sicure le edizioni di SQL Server a oggi più diffuse, modificando la gestione della memoria per le funzioni di conversione, il metodo con cui vengono validati i file sui dischi e l’utilizzo delle pagine.
Il secondo update interessa, invece, i sistemi operativi Windows Vista dotati o meno di SP1, le edizioni Vista x64 e la principali versioni di Windows Server 2008. A causa di una vulnerabilità in Windows Explorer, un utente malintenzionato si sarebbe potuto introdurre nel sistema attraverso un file di ricerca (saved search file) appositamente creato allo scopo. Attraverso l’account dell’amministratore, l’intruso avrebbe potuto modificare file, impostazioni, dati e programmi installati a proprio piacimenti all’insaputa dell’effettivo possessore del dispositivo. La patch modifica il metodo con cui Windows Explorer interpreta i file di ricerca, chiudendo così la strada ad eventuali intrusioni non autorizzate.
La terza patch, invece, si applica a tutte le versioni ancora supportate da Microsoft di Windows 2000, Windows XP, Windows Server 2003 e 2008. L’aggiornamento corregge due vulnerabilità riscontrate in Windows Domain Name System, sia nella versione DNS client che in quella DNS server. I due malfunzionamenti avrebbero potuto consentire a un utente malintenzionato di reindirizzare il traffico sui network verso i sistemi approntati dal “dirottatore” stesso. La correzione è stata resa possibile rendendo maggiormente random le DNS transaction ID e utilizzando sistemi random per le query del protocollo UDP.
L’ultimo aggiornamento interessa, invece, tutte le versioni ancora supportate da Redmond di Microsoft Exchange Server 2003 e Microsoft Exchange Server 2007. La patch corregge tre vulnerabilità riscontrate in Outlook Web Access (OWA) per Exchange Server. Sfruttando il malfunzionamento del sistema, un utente senza le necessarie autorizzazioni avrebbe potuto accedere a una sessione individuale di OWA, agendo con tutti i privilegi per compiere modifiche a proprio piacimento. Una correzione del sistema di validazione tramite HTTP di OWA ha ora risolto le due vulnerabilità.
Nella breve serie di aggiornamenti per il mese di luglio, tutti classificati come “importanti” senza alcuna patch “critica”, è compreso infine il tool per la rimozione di eventuali applicativi e file nocivi per i sistemi. Come sempre, Microsoft consiglia ai propri utenti di procedere quanto prima con l’aggiornamento.