Microsoft ha rilasciato 7 nuovi bollettini di sicurezza nell'ambito del suo programma di aggiornamento di protezione realizzato su base mensile, per correggere una serie vulnerabilità in Microsoft Windows. Si contano 3 bollettini "critici", 3 "importanti, e 1 "moderato".
Il primo bollettino critico [
MS08-030] include la correzione per una vulnerabilità di esecuzione di codice in modalità remota isolata nello stack Bluetooth in Windows (
CVE-2008-1453) nelle versioni Windows XP (anche SP3) e Vista (anche SP1) su entrambe le piattaforme x86 e x64. Il secondo bollettino critico [
MS08-031] offre un aggiornamento di protezione per Internet Explorer a correzione di due vulnerabilità, una RCE (
CVE-2008-1442) ed una di "information disclosure" (CVE-2008-1544) che affliggono con diverso livello di gravità tutte le versioni supportate del browser (anche IE7) su i vari sistemi operativi Windows. Il terzo bollettino critico [
MS08-033] corregge due vulnerabilità RCE (MJPEG Decoder -
CVE-2008-0011 e SAMI Format Parsing -
CVE-2008-1444) identificate nelle librerie DirectX in tutte le versioni supportate di Windows (anche DirectX 10.0). Il bug nel parsing del formato SAMI affligge solo Windows 2000.
Microsoft "Pre-Patch Day" GIU08 -
Microsoft Patch Day Maggio 2008 -
Altre
I bollettini "importanti": [
MS08-034] corregge una vulnerabilità di Elevation of Privilege (
CVE-2008-1451) isolata nella componente Windows Internet Name Service (WINS) di Windows 2000 Server SP4 e Windows Server 2003 (anche SP2); [
MS08-035] include un fix di sicurezza per un problema di Denial of Service (
CVE-2008-1445) presente nelle componenti Active Directory, ADAM e AD LDS di Windows 2000 Server, Windows XP, Windows Server 2003 e 2008. Questo bollettino non interessa Windows Vista;
[
MS08-036] corregge due bug DoS (
CVE-2008-1440 e
CVE-2008-1441) presenti nell'implementazione del protocollo Pragmatic General Multicast (PGM) di Windows in tutte le versioni supportate tranne Windows 2000.
L'ultimo bollettino [
MS08-032], classificato come "moderato", offre un fix per una vulnerabilità RCE (
CVE-2007-0675) presente in Microsoft Speech API. Questo update include un kill-bit di registro per impedire il caricamento del controllo ActiveX
LiteInstactivator di BackWeb.
Sul blog ufficiale "
Security Vulnerability Research & Defense" di Microsoft vengono discussi nel dettaglio i bollettini
MS08-030,
MS08-033 e
MS08-036.
C = Critica
I = Importante
M = Moderata | [RCE] = Remote Code Execution
[EoP] = Elevation of Privilege
[DoS] = Denial of Service
|
XPSP3[x]/ViSP1[x] = XP SP3 /Vista SP1 (con "x" = importanza relativa)
|
-
MS08-030 Vulnerabilità in Bluetooth Stack [
RCE] (
951376)
C XPSP3[
C]
ViSP1[
C]
-
MS08-031 Aggiornamento cumulativo per Internet Explorer (
950759)
C XPSP3[
C]
ViSP1[
C]
-
MS08-032 Aggiornamento cumulativo di ActiveX Kill Bits (
950760)
M XPSP3[
M]
ViSP1[
M]
-
MS08-033 Vulnerabilità in DirectX [
RCE] (
951698)
C XPSP3[
C]
ViSP1[
C]
-
MS08-034 Vulnerabilità in WINS [
EoP] (
948745)
I-
MS08-035 Vulnerabilità in Active Directory [
DoS] (
953235)
I XPSP3[
M]
-
MS08-036 Vulnerabilità in Pragmatic General Multicast (PGM) [
DoS] (
950762)
I XPSP3[
I]
ViSP1[
M]
Rilasciato anche il consueto aggiornamento per lo
strumento di rimozione malware per Windows v.1.42.
non ci sono commenti
