L’aggiornamento di ottobre per i sistemi Microsoft è decisamente più importante rispetto a quelli dei mesi precedenti. Coinvolto Windows Vista, coinvolto Internet Explorer, il tutto nel contesto di 7 6 patch delle quali ben quattro di importanza critica secondo la scala di importanza attribuita dalla stessa Microsoft.
Queste le quattro patch di importanza critica:
- Microsoft Security Bulletin MS07-055: il problema è identificato nel Kodak Image Viewer e permette l’esecuzione di codice da remoto; unico possibile fattore mitigante è il non accesso al sistema con permessi da amministratore;
- Microsoft Security Bulletin MS07-056: il problema è insito tanto in Outlook Express quanto in Windows Mail. Un eventuale attacco può essere affondato tramite la costruzione di un sito web apposito in grado di sfruttare il bug per eseguire codice sul sistema vulnerabile;
- Microsoft Security Bulletin MS07-057: update cumulativo per Internet Explorer in grado di risolvere 4 diversi bug del browser Microsoft, ivi compresa l’ultima versione 7.0 su Windows Vista;
- Microsoft Security Bulletin MS07-060: il problema è riscontrato in Microsoft Word e può essere colpito facendo aprire alla vittima dell’attacco un file di Word appositamente creato.
Due, viceversa, le patch «importanti»: nel mirino la Remote Procedure Call (RPC) nel 58esimo bollettino dell’anno e l’accoppiata Windows SharePoint Service 3.0 e Office SharePoint Server 2007 nella 59esima patch.
Secunia indica nel bollettino SA27151 l’estrema gravità della falla in Word e Office (anche la versione per Mac). Il problema, la cui scoperta è accreditata a Liu Kun-Hao dell’Information and Communication Security Technology Center, permette la completa manomissione del sistema con un exploit proponibile tramite appositi file Office. Sebbene al momento nessun attacco risulta essere stato riscontrato sul web, gli esperti si attendono presto un impegno specifico dell’industria del malware in quanto il bug può divenire un fulcro molto efficace per affondare nuovi exploit in breve tempo.
Come sempre Microsoft consiglia l’aggiornamento del sistema tramite Microsoft Update, servizio automatico che verifica il sistema in uso e mappa gli aggiornamenti necessari per la migliore messa in sicurezza. Nel caso specifico gli aggiornamenti risultano essere alquanto corposi e, per un Windows Vista completamente aggiornato in precedenza, è necessario un download di oltre 20 Mb.
Errata corrige:
Le patch rilasciate sono 6 e non 7 come invece preannunciato da Microsoft. Il motivo è spiegato sul blog del Microsoft Security Response Center (MSRC): una delle patch critiche è stata depennata perchè non sufficientemente qualitativa. Sarà, presumibilmente, rinviata di un mese.