L’aggiornamento mensile Microsoft porta in dote tre patch, ne ripropone due, ma soprattutto si evidenzia una mancanza. Per Settembre, infatti, come previsto non è disponibile l’aggiornamento relativo alla vulnerabilità emersa nei giorni scorsi all’interno di Word 2000 per utenti con Windows 2000. Quest’ultimo bug è giudicato ad altissima pericolosità ma, in assenza di minacce imminenti, è presumibile a questo punto un rinvio dell’aggiornamento al prossimo ciclo di Ottobre.
Tre le patch invece disponibili fin da subito:
- Microsoft Security Bulletin MS06-052
La patch MS06-052 è giudicata come “importante” ed è relativa al sistema operativo Windows XP SP1 e SP2. Il pericolo è quello di rimanere vittime di esecuzione di codice da remoto sul computer colpito nel caso in cui sul computer stesso sia installato Microsoft Message Queuing (MSMQ) 3.0 (con attacco basato sul protocollo Pragmatic General Multicast); - Microsoft Security Bulletin MS06-053
La patch MS06-053 è di importanza moderata e coinvolge svariate versioni di Microsoft Windows a livello di Indexing Service. Vari limiti rendono però difficoltoso un attacco tramite Internet Information Services (IIS) ed il problema risulta dunque limitato rispetto alla portata che potrebbe eventualmente assumere a seguito di una azione collaborativa da parte dell’utente; - Microsoft Security Bulletin MS06-054
La patch MS06-054 è l’unica «critical» per il mese in corso. Ad essere coinvolto è Microsoft Publisher, per cui l’apertura di un file appositamente creato permette ad un malintenzionato di agire visionando, creando o cancellando dati sul computer vittima.
Microsoft re-distribuisce infine precedenti patch che hanno ricevuto aggiornamenti importanti a seguito di un precedente rilascio. Trattasi nella fattispecie dei bollettini MS06-040 (in versione 2.0, giudicato «critical» a seguito del primo rilascio di Agosto e relativo a Microsoft Windows) ed MS06-042. Quest’ultima ha una storia del tutto particolare in quanto fu inizialmente ritirata a causa di un problema che portava al crash del browser ed ora trova nuova vita con un mese di ritardo rispetto alle previsioni originali. I dettagli del tutto sono disponibili sul blog del Microsoft Security Response Center Blog.
L’update può essere manuale oppure tramite il classico servizio di Microsoft Update (con Internet Explorer). Quest’ultimo canale è quello consigliato da Microsoft al fine di mantenere un occhio vigile sul proprio sistema senza affidare alla memoria ed all’attenzione umana l’annotazione delle patch installate e di quelle non necessarie.