Microsoft ha annunciato che il 10 Giugno prossimo rilascerà 7 nuovi bollettini di sicurezza con relative patch per correggere varie vulnerabilità isolate nei suoi software. Gli update rientrano nel programma mensile di aggiornamento di protezione dei prodotti dell'azienda, fissato per il secondo Martedì di ogni mese.

Questo mese saranno pubblicati 7 bollettini di sicurezza: 3 critici, 3 importanti e 1 moderato, tutti relativi al sistema operativo Windows. Secondo il sistema di rating del colosso del software, un problema di sicurezza è "critico" quando consente la realizzazione di un worm o altro codice nocivo in grado di diffondersi senza richiedere intervento dell'utente. Sono classificate come "importanti" le vulnerabilità che, se sfruttate, potrebbero compromettere la riservatezza, l'integrità o la disponibilità dei dati dell'utente o delle risorse di elaborazione. I problemi "moderati" invece si riferiscono alle vulnerabilità che risultano molto attenuate da fattori quali una configurazione predefinita, il controllo o la difficoltà di sfruttare il punto debole.

 Microsoft Patch Day Maggio 2008  -  Microsoft "Pre-Patch Day" MAG08  -  Altre 

Il primo bollettino critico "Bluetooth Bulletin" correggerà un problema di remote code execution isolato in Microsoft Windows XP (anche SP3) e Vista (anche SP1) su entrambe le piattaforme x86 e x64. Il secondo bollettino critico "Internet Explorer Bulletin" includerà un aggiornamento di protezione cumulativo per Internet Explorer a correzione di una falla RCE che affligge tutte le versioni supportate del browser (anche IE7) su i vari sistemi operativi Windows. Il terzo bollettino critico "DirectX Bulletin" risolverà, allo stesso modo, una problematica di esecuzione di codice da modalità remota identificato nel codice delle librerie DirectX in tutte le versioni supportate di Windows (anche DirectX 10.0).

I 3 bollettini "importanti" includono: "WINS Bulletin", che correggerà un problema di Elevation of Privilege isolato in Windows 2000 Server SP4 e Windows Server 2003 (anche SP2);

"Active Directory Bulletin", che includerà un fix di protezione per un problema di Denial of Service presente nelle componenti Active Directory , ADAM e AD LDS di Windows. Questa problematica non affligge Windows Vista; "PGM Bulletin", che offrirà una aggiornamento di protezione per una falla DoS che affligge Windows in tutte le versioni supportate tranne Windows 2000. L'ultimo bollettino, classificato come "moderato", "Kill Bit Bulletin", correggerà una falla RCE presente in tutte le versioni Windows, eccetto Windows 2000 Server SP4.

Contestualmente segnaliamo un intervento pubblicato sul blog ufficiale di Microsoft "Security Vulnerability Research & Defense" in cui viene discussa una problematica di sicurezza recentemente evidenziata dai ricercatori di sicurezza di McAfee nel controllo ActiveX di Microsoft Works 7 "WkImgSrv.dll", per la quale è stato reso disponibile pubblicamente un codice exploit sul database milw0rm. Microsoft ha annunciato che non rilascerà un aggiornamento di protezione per questa problematica, alla luce dei risultati dell'indagine condotta dai suoi ricercatori, che hanno escluso l'esistenza di alcun preoccupante vettore di attacco.