Ieri sera, Microsoft ha rilasciato sette aggiornamenti di sicurezza, tre critici e quattro importanti, che risolvono 24 vulnerabilità in Internet Explorer, Windows, Office ed Exchange. L’azienda di Redmond ha inoltre ripubblicato due patch di novembre che riguardano due versioni del browser e due edizioni di Windows. È infine disponibile un Fix it che mostra un avviso, nel caso in cui viene attivato il fallback per SSL 3.0 su Internet Explorer 11.
Il bollettino MS14-080 risolve 14 bug individuati in tutte le versioni di Internet Explorer attualmente supportate da Microsoft, quindi da IE6 su Windows Server 2003 SP2 a IE11 su Windows 8.1. Le vulnerabilità consentono l’esecuzione di codice remoto se l’utente visita una pagina infetta con il browser. Il problema potrebbe causare la corruzione della memoria, il bypass del filtro XSS e della protezione ASLR. Il bollettino MS14-081 risolve invece due bug nelle versioni 2007/2010/2913 di Office. In questo caso, l’esecuzione di codice remoto potrebbe avvenire se l’utente apre un file Word infetto, ricevuto come allegato di posta elettronica o scaricato da un sito. Il terzo bollettino critico (MS14-084) chiude una falla scoperta nel componente VBScript di Windows.
I quattro bollettini, classificati come importanti, riguardano Exchange Server 2007/2010/2013, Office 2007/2010/2013 e in tutte le edizioni di Windows. Il bollettino MS14-065, distribuito a novembre, è stato aggiornato per risolvere una vulnerabilità aggiuntiva presente in Internet Explorer 8 e Internet Explorer 10. In ogni caso, la patch è inclusa nell’update cumulativo di dicembre. Il bollettino MS14-066, invece, risolve un problema scoperto nella versione originale e interessa solo gli utenti Windows Vista e Windows Server 2008.
Il security advisor 3009008, che spiega come disabilitare SSL 3.0 in Internet Explorer, è stato aggiornato con la pubblicazione di un Fix it che consente di attivare la visualizzazione di un warning in Internet Explorer 11, se il sito visitato cerca di usare il vecchio protocollo, attraverso il fallback. Ciò si è reso necessario a causa del bug POODLE.