A meno di urgenze imprevedibili ed al momento non previste, le patch rilasciate nelle ultime ore da Microsoft sono le ultime dell’anno 2009. Con il patch day di Dicembre il computo totale giunge pertanto a 74 aggiornamenti nell’arco dell’anno 2009: erano stati 77 nel 2008, furono 69 nel 2006.
Tre patch vengono distribuite accompagnate dal giudizio massimo di criticità. Trattasi nella fattispecie della MS09-071, la MS09-072 e la MS09-074. La prima risolve una duplice vulnerabilità in Microsoft Windows per un problema identificato a livello di Internet Authentication Service. La seconda risolve quattro differenti vulnerabilità in Internet Explorer, ivi comprese le versioni 5.01, 6, 7 ed 8. L’ultima patch risolve un grave problema riscontrato in Microsoft Office Project tramite cui sarebbe teoricamente possibile eseguire codice da remoto sul sistema vulnerabile.
La seconda metà del patch day è costituita invece da tre patch giudicate “importanti”: trattasi nella fattispecie della MS09-069, la MS09-070 e la MS09-073. Le tre patch risolvono una vulnerabilità in Microsoft Windows, una duplice vulnerabilità nell’Active Directory Federation Services ed un’ultimo bug in Microsoft WordPad.
11 i bug risolti nel patch day di fine anno, alcuni dei quali particolarmente incisivi nell’equilibrio della sicurezza dei sistemi Microsoft poiché coinvolgenti ad esempio la gran parte dei browser in uso a livello internazionale. Per ognuna delle falle indicate il gruppo ha pubblicato un “exploitability index” descrivendo quelli che sono i margini di tempo per la risoluzione del problema prima che un exploit tenti di approfittare della situazione. Per gli utenti il consiglio è quello di controllare lo stato del proprio sistema cercando le ultime patch disponibili tramite Microsoft Update (nel mese di dicembre la differenza rispetto a Windows Update è marcata: soltanto Microsoft Update verifica anche lo stato di salute di Office, garantendo pertanto massima salubrità alla complessità del sistema in uso).