5365 Letture

"Patch day" Microsoft di maggio: dieci aggiornamenti

In occasione del "patch day" di maggio, Microsoft ha rilasciato dieci aggiornamenti di sicurezza destinati alla risoluzione di alcuni bug presenti in Windows, Internet Explorer, .NET Framework, Office, Windows Essentials e Lync.
Dei dieci bollettini di sicurezza, solamente due sono classificati come "critici" mentre i restanti otto come "importanti".

Secondo l'analisi dei tecnici Microsoft, le patch da applicare senza indugio sono le prime due (MS13-037 e MS13-038). L'uno è un aggiornamento cumulativo destinato a tutte le versioni di Internet Explorer mentre l'altro consente di sanare una lacuna di sicurezza scoperta in Internet Explorer 8.0 e 9.0 (si tratta della falla che avevamo documentato, qualche giorno fa, con l'articolo Brutta falla di sicurezza in Internet Explorer 8.0).


La patch MS13-039 dà invece modo di correggere il comportamento anomalo tenuto dal file di sistema HTTP.sys che, su Windows 8, Windows RT e Windows Server 2012 potrebbe facilitare attacchi di tipo Denial of Service (DoS).

Altrettanto importante il bollettino MS13-040 che si rivolge agli utenti di diverse versioni del Framework .NET. Installandolo si eviterà che un utente malintenzionato possa modificare il contenuto di un file XML ed accedere così a funzionalità cruciali, come se fosse un utente precedentemente autenticato.


Molti dei restanti bollettini debbono essere invece applicati dagli utenti di Microsoft Office e del pacchetto Windows Essentials in modo da evitare l'esecuzione di codice potenzialmente dannoso, semplicemente aprendo un documento maligno, o la condivisione di informazioni personali.

L'ultima patch (MS13-046) consente di scongiurare l'acquisizione di privilegi utente più elevati da parte di un aggressore andando a modificare i driver kernel-mode del sistema operativo. L'aggiornamento interessa tutte le versioni di Windows.

Nell'ambito della loro consueta analisi mensile, gli esperti dell'Internet Storm Center (SANS ISC) indicano la patch MS13-038 come quella a più elevata criticità in ambito client. Un gradino più sotto - sebbene pur sempre critiche - vengono posti i bollettini MS13-037, MS13-041, MS13-042, MS13-043 e MS13-045. Lato server, ISC non definisce "critico" alcun bollettino: tutte le patch di questo mese vengono valutate come "importanti".

Il prossimo appuntamento con il "patch day" Microsoft è fissato per martedì 11 giugno 2013.