L’aggiornamento di sicurezza Microsoft di Dicembre porta in dote due patch per quattro diverse falle in Internet Explorer ed una in Windows 2000. L’aggiornamento prevede la soluzione di problemi definiti «critici» dalla stessa Microsoft, il che impone massima attenzione ai fini di un sollecito aggiornamento del sistema. Non sono previsti altri aggiornamenti prima del 10 Gennaio 2006 quando il bollettino MS06-001 inaugurerà la nuova annata. Il conteggio delle patch Microsoft per il 2005 si chiude dunque a 55 unità contro le 45 del 2004 e le 51 del 2003.
Il primo bollettino Microsoft Security Bulletin MS05-054 consiste in un aggiornamento cumulativo per Internet Explorer versioni 5.01 e successive. Le quattro falle aprono principalmente alla possibilità di esecuzione di codice da remoto risultando critiche anche per un sistema XP Service Pack 2 completamente aggiornato. L’aspetto più importante rilevato è il fatto che una delle vulnerabilità risolte già aveva il corrispettivo exploit disponibile in rete (a firma di tale gruppo “Computer Terrorism”), il che aveva suscitato un certo allarme dal momento in cui svariati giorni ancora mancavano al momento della segnalazione prima della distribuzione delle patch mensili. In questo lasso di tempo non si sono segnalate comunque condizioni di pericolo reale ed ora l’aggiornamento disponibile è in grado di annullare il problema.
Il secondo bollettino Microsoft Security Bulletin MS05-054 concerne una vulnerabilità del sistema operativo Windows 2000 identificata a livello «importante» nel grado di pericolosità Microsoft. Il rischio di «privilege elevation» è però fortemente mitigato dal fatto che un eventuale exploit non risulta essere eseguibile da remoto.