Microsoft Patch day febbraio: 7 aggiornamenti fissano 32 vulnerabilità

Quando il mese scorso Microsoft ha distribuito solo quattro bollettini di sicurezza, ci sono stati sospiri di sollievo mescolati a trepidazione. Infatti l'esperienza passata ha dimostrato che tali mesi di luce sono non di rado seguiti da un diluvio di patch il mese successivo. Questa volta i professionisti IT possono tirare mezzo sospiro di sollievo. La società di Redmond in occasione del suo Patch Day di febbraio 2014 ha rilasciato 7 bollettini che risolvono 32 vulnerabilità in Windows, quattro dei quali sono contrassegnati come "critici" e tre importanti. La patch più critica è l'aggiornamento cumulativo per Internet Explorer che consente di sanare 23 vulnerabilità scoperte nel browser Microsoft. Di seguito i bollettini sulla sicurezza di febbraio in ordine di gravità.

• MS14-010 - Aggiornamento cumulativo per la protezione di Internet Explorer (2909921). Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente e ventitré vulnerabilità segnalate privatamente in Internet Explorer. Le più gravi vulnerabilità possono consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Un utente malintenzionato che riesca a sfruttare la più grave di queste vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. 

• MS14-011 - Una vulnerabilità nel motore di script VBScript può consentire l'esecuzione codice in modalità remota (2928390). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente nel motore di script VBScript in Microsoft Windows. La vulnerabilità CVE-2014-0271 potrebbe consentire l'esecuzione di codice in modalità remota se un utente visita un sito Web appositamente predisposto. Un utente malintenzionato non può in alcun modo obbligare gli utenti a visitare il sito Web. Invece, un utente malintenzionato deve convincere gli utenti a prendere provvedimenti, in genere inducendoli a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che li indirizzi al sito Web di origine dell'attacco.

• MS14-007 - Una vulnerabilità in Direct2D potrebbe consentire l'esecuzione di codice in modalità remota (2912390). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Windows. La vulnerabilità CVE-2014-0263 può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Un utente malintenzionato non può in alcun modo obbligare gli utenti a visualizzare il contenuto appositamente predisposto. Invece, un utente malintenzionato deve convincere gli utenti a prendere provvedimenti, in genere inducendoli a fare clic su un collegamento in un messaggio di posta elettronica o in un messaggio di Instant Messenger che li indirizzi al sito Web di un aggressore, o inducendoli ad aprire un allegato inviato tramite e-mail.

• MS14-008 - Una vulnerabilità in Microsoft Forefront Protection for Exchange può consentire l'esecuzione di codice remoto (2927022). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Forefront. La vulnerabilità CVE-2014-0295 potrebbe consentire l'esecuzione di codice in modalità remota se un messaggio di posta elettronica appositamente predisposto viene sottoposto a scansione. L'aggiornamento per la protezione risolve la vulnerabilità rimuovendo il codice vulnerabile di Microsoft Forefront Protection for Exchange Server. L'aggiornamento si applica solo ai sistemi che eseguono Microsoft Forefront Protection 2010 for Exchange Server versione 11.0.727.0.

• MS14-009 - Alcune vulnerabilità in .NET Framework possono consentire  l'elevazione di privilegi (2916607). Questo aggiornamento per la protezione risolve due vulnerabilità divulgate pubblicamente e una vulnerabilità segnalata privatamente in Microsoft .NET Framework. La vulnerabilità più grave può consentire l'elevazione di privilegi se un utente visita un sito Web appositamente predisposto o un sito web con contenuti web appositamente predisposti. In tutti i casi, però, un utente malintenzionato non può in alcun modo obbligare gli utenti a visitare tali siti Web. Invece, un utente malintenzionato deve convincere gli utenti a visitare il sito Web compromesso, in genere inducendoli a fare clic su un collegamento in un messaggio di posta elettronica o in un messaggio di IM che li indirizzi al sito Web di origine dell'attacco. Vulnerabilità CVE-2014-0295 e CVE-2014-0257. 

• MS14-005 - Una vulnerabilità in Microsoft XML Core Services può consentire l'intercettazione di informazioni personali (2916036). Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente in Microsoft XML Core Services incluso in Microsoft Windows. La vulnerabilità CVE-2014-0266 può consentire l'intercettazione di informazioni personali se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Un utente malintenzionato deve convincere gli utenti a prendere provvedimenti, in genere inducendoli a fare clic su un collegamento in un messaggio di posta elettronica o in un messaggio di Instant Messenger che loi indirizzi al sito Web di un aggressore, o inducendoli ad aprire un allegato inviato tramite e-mail.

• MS14-006 - Una vulnerabilità in IPv6 può consentire attacchi di tipo Denial of Service (2904659). Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente in Microsoft Windows. La vulnerabilità CVE-2014-0254 può consentire un attacco DDoS se un utente malintenzionato invia un gran numero di pacchetti IPv6 appositamente predisposti a un sistema interessato. Per sfruttare la vulnerabilità, il sistema di un utente malintenzionato deve appartenere alla stessa sottorete del sistema di destinazione. Questo aggiornamento per la protezione è considerato di livello importante per tutte le edizioni supportate di Windows 8, Windows RT e Windows Server 2012. L'aggiornamento per la protezione risolve la vulnerabilità modificando il modo in cui i sistemi interessati convalidano le richieste TCP/IP.

Oltre ad essere il rilascio dell'aggiornamento per la protezione, l'11 febbraio è stato ufficialmente il Safer Internet Day per il 2014. Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 5.9, per consentire l'eliminazione di software dannosi dai computer che eseguono Windows 8.1, Windows 8, Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 o Windows XP. Il prossimo appuntamento con il patch day è fissato per martedì 11 marzo 2014.