Come anticipato dalle comunicazioni Microsoft dedicate agli amministrazioni di sistema, il gruppo ha diramato due aggioramenti in occasione del patch day di Maggio. Le patch descritte nel “Microsoft Security Bulletin Summary for May 2010” sono in distribuzione in queste ore tramite il canale automatico Microsoft Update.
Patch numero 30: «L’aggiornamento di sicurezza risolve una vulnerabilità, comunicata privatamente, in Outlook Express, Windows Mail e Windows Live Mail. La vulnerabilità può permettere l’esecuzione di codice da remoto se un utente accede ad un server email maligno. Un malintenzionato che porta a segno un exploit su questa vulnerabilità può avere gli stessi diritti dell’utente locale. L’utente il cui account è configurato per avere meno diritti sul sistema può subire un minore impatto di colui il quale opera con privilegi di amministrazione». Secondo quanto indicato nei dettagli comunicati dal blog Technet “Security Research & Defense” il problema può manifestarsi nel caso in cui un malintenzionato assuma il controllo di un server email, ma soprattutto con un “man-in-the-middle” in grado di intercettare una connessione Wifi deviandone il traffico su server appositamente programmati.
Patch numero 31: «L’aggiornamento di sicurezza risolve una vulnerabilità, comunicata privatamente, in microsoft Visual Basic for Applications (VBA). La vulnerabilità permette l’esecuzione di codice da remoto se una applicazione viene aperta e passa uno speciale file a Visual Basic for Applications». Anche in questo caso il problema può essere ridotto se l’utente attaccato non ha accesso al sistema con privilegi di amministrazione. Greg Wroblewski, MSRC Engineering, spiega che al momento non vi sono rischi seri di exploit, ma che potrebbero essere sviluppati nel giro di un mese.
In entrambi i casi trattasi di vulnerabilità critiche, dunque al massimo grado di giudizio nella scala Microsoft.