Microsoft ha annunciato nei giorni scorsi la necessità di una forzata appendice al Patch Day mensile che cade solitamente il secondo martedì del mese. Per questo motivo un Patch Day extra è stato previsto per la giornata di oggi e nella notte gli aggiornamenti hanno preso la via di Microsoft Update per portare l’aggiornamento sui sistemi vulnerabili. L’occorrenza delle patch “out-of-box” è un evento raro e legato a pericoli gravi ed immediati: ne consegue la necessità di un aggiornamento sollecito al fine di porre rimedio alle vulnerabilità emerse.
Due le patch rilasciate, sei le vulnerabilità risolte. Il bollettino numero MS09-035, etichettato con pericolosità «moderata», è lo spunto dal quale tutto inizia: tre diversi bug in Visual Studio sono infatti stati scoperti dai team IBM ISS X-Force e VeriSign iDefense Labs, ma la pericolosità va oltre il solo problema nel software. La gravità, infatti, è rappresentata dal fatto che trattasi di una vulnerabilità destinata a riflettersi sull’intero corpus delle applicazioni costruite con Visual Studio utilizzando Microsoft Active Template Library (ATL). Per questo motivo il bollettino Microsoft chiede che «gli sviluppatori che hanno costruito e redistribuito componenti e controlli usanto ATL installino l’update messo a disposizione e seguano le indicazioni per creare e distribuire ai propri clienti componenti e controlli non vulnerabili. […] Gli sviluppatori che hanno costruito componenti e controlli usanto ATL devono scaricare l’aggiornamento e ricompilare i loro componenti e controlli seguendo le linee guida fornite dall’articolo MSDN».
Il bollettino MS09-034 va a risolvere tre vulnerabilità in Internet Explorer, ma soprattutto incide direttamente nei sistemi di difesa ricollegati al problema risolto in Visual Studio da parte del bollettino MS09-035. L’aggiornamento del browser Microsoft, infatti, è pensato per mitigare gli eventuali attacchi su componenti e controlli sviluppati utilizzando Microsoft Active Template Library (ATL). La patch cumulativa interviene inoltre su problematiche scoperte a firma dei team VeriSign iDefense Labs e TippingPoint (Zero Day Initiative). In ognuno dei casi indicati il rischio è quello della corruzione della memoria da remoto, situazione che Secunia conferma come «altamente critica».
Un eventuale attacco potrebbe essere portato avanti proponendo semplicemente all’utente di un sistema vulnerabile una pagina Web appositamente costruita. Il prossimo aggiornamento è previsto per l’11 Agosto.