Mentre gli utenti Apple seguivano l’annuncio dei nuovi iPhone 6, gli utenti Windows erano occupati a scaricare le patch distribuite da Microsoft a partire dalle ore 19. Gli aggiornamenti di settembre risolvono complessivamente 42 vulnerabilità e, anche questa volta, al centro dell’attenzione c’è Internet Explorer. L’update cumulativo riservato al browser di Redmond chiude infatti ben 37 falle di sicurezza. Gli altri software interessati sono Windows, .NET Framework e Lync Server.
In totale, Microsoft ha rilasciato quattro bollettini, uno critico e tre importanti. Il bollettino critico MS14-052 è ovviamente quello che merita la massima priorità, essendo indirizzato al software più utilizzato dagli utenti e più bersagliato dai malintenzionati. La vulnerabilità meno grave è stata individuata nel controllo ActiveX XMLDOM e può essere sfruttata per intercettare informazioni personali. Le altre 36 vulnerabilità sono invece legate alla corruzione della memoria e quindi consentono ad un malintenzionato di eseguire codice arbitrario nel contesto dell’utente attuale. Se si accede con privilegi di amministratore, è possibile assumere il controllo completo del sistema. Il problema è presente in tutte le versioni del browser, da IE6 su Windows Server 2003 SP2 a IE11 su Windows 8.1.
Il bollettino MS14-053 risolve una vulnerabilità in .NET Framework che potrebbe essere sfruttata per eseguire un attacco DoS (denial of Service). Windows Update mostrerà la patch corretta in base alle versione del framework installata. L’unica versione immune al bug è la 3.5 Service Pack 1. Il bollettino MS14-054 chiude una falla nel Task Scheduler (Utilità di pianificazione) di Windows 8/8.1 e Windows RT/RT 8.1. Infine, il bollettino MS14-055 risolve tre vulnerabilità in Lync Server, la più grave delle quali può consentire un attacco di tipo Denial of Service.
Il patch day di Adobe comprende solo un aggiornamento per Flash Player. Le nuove versioni del plugin sono 15.0.0.152 per Windows e Mac, e 11.2.202.406 per Linux. Gli update, precedentemente previsti per Acrobat e Reader, sono stati posticipati alla prossima settimana.