Dopo un mese di maggio relativamente tranquillo passato con due soli bollettini di sicurezza, il patch day di giugno si annuncia decisamente più impegnativo. Per la giornata di oggi infatti Microsoft, ha annunciato il rilascio di ben 16 bollettini di sicurezza che andranno a risolvere 34 vulnerabilità. Nove di queste vulnerabilità sono catalogate come "critiche", mentre le altre sette vengono considerate "importanti".
I prodotti interessati da questi 16 fix sono Microsoft Windows, Microsoft Office, Internet Explorer, dotNET, SQL, Visual Studio, Silverlight e ISA. Una parte dell'update dedicato al browser web riguarderà anche la vulnerabilità cookiejacking, scoperta dal ricercatore di sicurezza Rosario Valotta. In particolare Microsoft ha attirato l'attenzione su quattro bollettini classificati la cui distribuzione è a priorità più alta. MS11-042 DFS - corregge due vulnerabilità segnalate privatamente nel client Distributed File System.
Se sfruttata da attaccanti potrebbe eseguire codice arbitrario sul computer vittima. MS11-043 SMB Client - Simile a MS11-042 questo difetto nel client di condivisione file in Windows può consentire a un utente malintenzionato di eseguire codice da remoto sul PC vittima. MS11-050 Internet Explorer - Risolve privatamente 11 difetti comunicati in IE, alcuni dei quali potrebbero causare l'esecuzione di codice in modalità remota.
MS11-052 Internet Explorer 6,7,8 - Difetti divulgati nell'implementazione del Vector Markup Language (VML) di Microsoft potrebbe consentire l'esecuzione di codice da remoto, semplicemente visitando una pagina Web dannosa. L'update comprende la maggior parte dei sistemi operativi Windows. L'aggiornamento è possibile sia con il download diretto che mediante Microsoft Update.
Adesso il rilascio trimestrale di Adobe si allinea con quello mensile di Microsoft. Gli update arriveranno in corrispondenza del secondo martedì del mese, proprio come i bollettini di Redmond, ma soltanto nell'ultimo mese di ogni trimestre. Inoltre Adobe pubblicherà qualche giorno prima un advisory con tutte le informazioni sulle vulnerabilità scoperte e i prodotti interessati dagli aggiornamenti di sicurezza. A questa pagina, ad esempio, possiamo trovare il bollettino degli aggiornamenti già disponibili.
Le piattaforme interessate sono Windows e Mac. In particolare vulnerabilità critiche sono state individuate in Adobe Reader X (10.0.1) e nelle versioni precedenti di Windows, Adobe Reader X (versione 10.0.3) e versioni precedenti per Macintosh, e Adobe Acrobat X (versione 10.0.3) e versioni precedenti per Windows e Macintosh.
Tali vulnerabilità possono causare il crash dell'applicazione e potenzialmente consentire ad un malintenzionato di prendere il controllo del sistema interessato. Questi aggiornamenti comprendono anche l'aggiornamento di Adobe Flash Player come indicato nel Security Bulletin APSB11-12 e Security Bulletin APSB11-13. Adobe consiglia agli utenti di Adobe Reader X (versione 10.0.3) e versioni precedenti per Windows e Macintosh aggiornamento ad Adobe Reader X (10.1).
Recentemente, i tecnici hanno anche sistemato la vulnerabilità del Flash Player inserita all'interno del lettore di documenti Adobe. Gli utenti possono utilizzare il meccanismo di aggiornamento automatico del prodotto o possono attivarlo manualmente scegliendo Aiuto> Controlla aggiornamenti. I prossimi aggiornamenti trimestrali di sicurezza per Adobe Reader e Acrobat sono previsti per il 13 settembre 2011.
Nessun commento:
Posta un commento