Ieri sera, Microsoft ha distribuito gli ultimi aggiornamenti di sicurezza dell’anno per i suoi prodotti. Con il Patch Tuesday di dicembre il numero totale di bollettini raggiunge quota 106, mentre le vulnerabilità risolte sono 330. Per questo mese, l’azienda di Redmond ha corretto 24 bug in Windows, Office, Internet Explorer, Lync, Exchange e SharePoint Server. Cinque degli 11 bollettini sono stati classificati come “critici”, mentre i rimanenti sei hanno un livello di gravità “importante”.
Come anticipato la scorsa settimana, questa volta la precedenza nell’ordine di installazione va alla vulnerabilità scoperta nel componente GDI+ di Windows Vista, Windows Server 2008, Office 2003/2007/2010 e Lync 2010/2013. Il bug potrebbe consentire l’esecuzione di codice remoto, se l’utente visualizza un contenuto che include file TIFF appositamente predisposti. Sono stati già segnalati exploit e attacchi in Medio Oriente e Asia. Windows XP è immune dal problema, ma il vecchio sistema operativo è interessato da un’altra falla zero-day che Microsoft risolverà a gennaio (al momento è disponibile un workaroud).
Anche a dicembre è stata rilasciata una patch per tutte le versioni di Internet Explorer, da IE6 su Windows XP SP3 a IE11 su Windows 8.1. Delle sette vulnerabilità risolte, la più grave potrebbe consentire ad un malintenzionato di acquisire gli stessi diritti dell’utente corrente, se viene visualizzata una pagina web appositamente predisposta. Il terzo bollettino critico chiude una falla individuata in tutte le versioni di Windows che potrebbe infettare il sistema se viene eseguito un installer firmato con un falso certificato. Infine, le restanti patch critiche risolvono bug nel Microsoft Scripting Runtime e nella libreria Oracle Outside In usata in Exchange Server.
I sei bollettini importanti sono relativi a vulnerabilità scoperte in SharePoint Server, Windows, ASP.NET e Office. Gli utenti che hanno attivato gli aggiornamenti automatici dovranno solo attendere il completamento dell’installazione, mentre coloro che preferiscono procedere manualmente devono eseguire Windows o Microsoft Update.