12 patch per 22 vulnerabilità: è questo il computo dell’aggiornamento mensile Microsoft per il mese di febbraio, con il quale il gruppo introduce una tornata particolarmente calda di update che lascia tuttavia scoperto uno zero-day di recente scoperta e di immediata gravità.
Come preannunciato nei giorni scorsi, Microsoft ha predisposto 3 aggiornamenti “critici” e 9 definiti “importanti”. Le tre patch di maggiore impatto sono la MS11-003, MS11-006 e la MS11-007: la patch 003 risolve 2 vulnerabilità scoperte nel browser Internet Explorer e concerne tutte le versioni supportate del browser, dalla 6 alla 8 (IE9 escluso), con possibilità di attacco tramite la semplice visita forzata su di una apposita pagina Web; la patch 006 risolve un problema in Windows Shell e coinvolge Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008; la patch 007 è relativa al driver OpenType Compact Font Format (CFF) e l’exploit può avvenire proponendo semplicemente del contenuto testuale formato con apposito font maligno: coinvolge Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 a livello “critico” e Windows XP/Windows Server 2003 a livello “importante”.
Le altre patch della tornata di febbraio sono relative ad aggiornamenti per Active Directory, Internet Information Services (IIS) FTP Service, Microsoft Visio ed altro ancora. Risolte, quindi, alcune delle “zero-day” che affliggevano i prodotti del gruppo, ma rimane tuttavia aperta una vulnerabilità relativa al protocollo MHTML per la quale è ad oggi disponibile soltanto un temporaneo “fix-it“. Nel caso in cui l’exploit pubblico dovesse farsi concretamente pericoloso è pertanto presumibile un intervento anticipato al di fuori del ciclo tradizionale di aggiornamento, misura estrema a cui Microsoft ha fatto ricorso più volte nel corso del 2010. Tuttavia al momento il pericolo è identificato al grado 2 del cosiddetto “Exploitability Index”, il che significa che non si prevedono pericoli particolari entro i prossimi 30 giorni: rimane tutto il tempo, insomma, per sviluppare con calma una patch efficace e definitiva che sarebbe così distribuita con la prossima tornata di aggiornamenti.
L’aggiornamento può essere effettuato tramite Windows Update e richiede il riavvio del sistema al termine delle installazioni. Il prossimo patch day è previsto per martedì 8 marzo.