Ieri sera, Microsoft ha distribuito otto aggiornamenti di sicurezza per Internet Explorer, Windows, Office, SharePoint, ASP.NET MVC e framework .NET. Le patch complessive risolvono complessivamente 24 vulnerabilità, 14 delle quali scoperte in tutte le versioni del browser, incluso il recente IE11. Tre bollettini sono stati classificati come critici, in quanto consentono l’esecuzione di codice remoto, senza l’interazione dell’utente. I restanti cinque bollettini sono invece considerati importanti.
Quattro vulnerabilità, tre in Windows e una in Internet Explorer, sono già state sfruttate dai malintenzionati per eseguire attacchi informatici (la più nota è denominata Sandworm), quindi è necessario procedere velocemente al download delle patch. Gli esperti di sicurezza consigliano di installare, nell’ordine, gli aggiornamenti MS14-060, MS14-056 e MS14-058. Il bollettino MS14-060 chiude una falla in tutte le edizioni di Windows che potrebbe consentire l’esecuzione di codice in modalità remota, se l’utente apre un file Microsoft Office che contiene un oggetto OLE appositamente predisposto.
Il bollettino MS14-056 risolve invece 14 bug in tutte le versioni Internet Explorer (da IE6 a IE11), il più grave dei quali potrebbe consentire l’esecuzione di codice remoto, eludendo la protezione ASRL (Address Space Layout Randomization). Infine, il bollettino MS14-058 risolve due vulnerabilità relative all’errata gestione dei caratteri TrueType e degli oggetti in memoria da parte del driver in modalità kernel Win32k.sys.
Le patch MS14-057 e MS14-059 risolvono rispettivamente tre bug in varie versioni del framework .NET e in ASP.NET MVC. Gli altri due bollettini riservati a Windows (MS14-062 e MS14-063) chiudono due bug individuati nel servizio di Accodamento messaggi e nel driver FASTFAT delle partizioni FAT32. Infine, il bollettino MS14-061 risolve una vulnerabilità in Office 2007/2010, Office per Mac, Office Web Apps 2010 e SharePoint Server 2010.