Dopo un mese di Maggio relativamente tranquillo, il patch day di Giugno porta agli utenti Microsoft ben 10 patch, tre delle quali di gravità critica e pertanto meritevoli di immediata e specifica attenzione. Trattasi di vulnerabilità (34 in tutto) relative soprattutto a Windows, ivi compreso un aggiornamento cumulativo dedicato al browser Internet Explorer.
La prima patch critica è la MS10-033: l’aggiornamento risolve due distinte vulnerabilità in grado di permettere l’esecuzione di codice da remoto all’apertura di speciali file o semplicemente eseguendo uno streaming su di un sito web appositamente progettato. Un eventuale attacco può essere perpetrato consegnando ad un malintenzionato gli stessi privilegi dell’utente che sta utilizzando il sistema offeso. Il problema coinvolge trasversalmente tutti i sistemi operativi del gruppo, da Windows 2000 a Windows 7, rivelando vulnerabilità nei vari Quartz.dll, Asycfilt.dll, Windows Media Format Runtime e Windows Media Encoder 9 x86 e x64.
La seconda patch critica è la MS10-034: l’update interviene su di una doppia vulnerabilità riscontrata in Windows 2000, Windows XP, Windows Vista e Windows 7, oltre ad una incidenza “moderata” su Windows Server 2003, Windows Server2008 e Windows Server 2008 R2. Il problema è relativo all’uso delle ActiveX e la patch prevede anche specifici kill bits per quattro controlli ActiveX. L’uso del sistema con bassi privilegi consente all’utente di contenere il pericolo potenziale conseguente.
La terza patch critica è la MS10-035: trattasi di un aggiornamento cumulativo per Internet Explorer (come da prassi del gruppo, le vulnerabilità di IE vengono notoriamente corrette a gruppi per massimizzare l’effetto di tali patch). In tutto vengono corretti 6 problemi distinti in grado di arrecare una situazione di grave pericolo all’utente sottoponendo al browser speciali contenuti in uno scenario di attacco web-based. La patch va ad aggiornare IE6, IE7 ed IE8 modificando alcuni parametri d’uso della memoria e dei contenuti in cache.
Gli altri aggiornamenti del mese sono etichettati come “importanti” coinvolgendo Windows, Office e .NET Framework. Da sottolineare in modo particolare le 14 vulnerabilità risolte in Microsoft Excel: trattasi di un aggiornamento di particolare rilevanza poichè trattasi di vulnerabilità già nel mirino di exploit pubblici e pertanto francobollate con “Exploitability Index Assessment” a livello 1 («Consistent exploit code likely»).
Symantec evidenzia inoltre particolare attenzione all’aggiornamento MS10-032 relativo al parsing di font TrueType: il bug potrebbe infatti aprire a facili scenari di attacco nei quali, forzando un utente a visitare un apposito sito web, è possibile prendere il controllo del sistema. Tale scenario apre pertanto alla possibilità di una improvvisa impennata degli attacchi di tipo “social engineering” (messaggi via Facebook, email da simil-conoscenti, notifiche da instant messenger, eccetera).
L’aggiornamento completo va effettuato avviando l’apposito controllo automatico tramite Microsoft Update.