7321 Letture

"Patch day" Microsoft di novembre: otto aggiornamenti

In occasione del "patch day" di novembre, Microsoft ha rilasciato otto aggiornamenti di sicurezza destinati alla risoluzione di alcuni bug presenti in Windows, Office ed Internet Explorer.
Degli otto bollettini di sicurezza, solo tre sono classificati come "critici"; i restanti come "importanti".

Tra gli aggiornamenti più critici, da installare nell'immediato, c'è un aggiornamento cumulativo per la protezione di Internet Explorer (MS13-088) che permette di "tappare" ben dieci buchi presenti nel browser Microsoft. L'aggiornamento interessa tutte le versioni di Internet Explorer (dalla 6.0 alla recentissima versione 11). La patch dovrebbe essere applicata da parte di tutti gli utenti, anche da coloro che preferiscono utilizzare un browser alternativo a quello del colosso di Redmond.


Molto importante (anche perché interessa tutte le versioni di Windows) è la patch MS13-089 che consente di scongiurare l'esecuzione di codice nocivo nel momento in cui l'utente provasse ad aprire un file WordPad malevolo.

Anche l'aggiornamento MS13-090 interessa tutte le versioni di Windows e permette la disabilitazione di componenti ActiveX noti per causare problemi di stabilità o di sicurezza.

Per quanto riguarda invece le patch di importanza minore (classificate come "importanti"), MS13-091 risolve tre vulnerabilità presenti in Office che potrebbero favorire l'esecuzione di codice dannoso aprendo un documento WordPerfect dannoso; MS13-092 evita l'acquisizione di privilegi utente più elevati con Hyper-V in Windows Server 2012 così come in Windows 8 x64; MS13-093 evita la rivelazione di informazioni personali da parte del Windows Ancillary Function Driver; MS13-094 impedisce che la versione di Outlook presente in tutte le versioni di Office porti all'esposizione di informazioni sensibili nel momento in cui si apra un messaggio di posta confezionato "ad arte". Infine, l'aggiornamento MS13-095 risolve una vulnerabilità in Windows che potrebbe facilitare attacchi DoS (Denial of Service) nel momento in cui un servizio web utilizzasse un certificato X.509 modificato da un malintenzionato.


Microsoft ha poi provveduto a rilasciare la versione 5.6 del noto Strumento per la rimozione malware.
È importante notare come nel "patch day" odierno non sia stato inserito alcun aggiornamento in grado di risolvere la pericolosa vulnerabilità recentemente scoperta in Office 2003, Office 2007, Office 2010 su Windows XP, Windows Vista e Windows Server 2008 (Vulnerabilità nelle vecchie versioni di Office e in Vista). Tale lacuna di sicurezza è particolarmente problematica perché potrebbe portare all'esecuzione di codice dannoso semplicemente visualizzando un file grafico in formato TIFF preparato da parte di un aggressore. L'unica soluzione, almeno per il momento, consiste nell'installazione dell'aggiornamento temporaneo ("fix") scaricabile a questo indirizzo.

Nella sua consueta analisi mensile, l'Internet Storm Center (ISC) di SANS richiama questa volta l'attenzione degli utenti sulla patch MS13-090, considerata ad elevatissima criticità in ambito client. Valutate "critiche", sempre lato client, le patch MS13-088, MS13-089 e MS13-091.
Per quanto riguarda le configurazioni server, tutte le patch vengono giudicate da ISC come "importanti".

Il prossimo appuntamento con il "patch day" Microsoft è fissato per martedì 10 dicembre 2013.

  1. Avatar
    Michele Nasi
    13/11/2013 18:45:51
    Lepo, ho fatto una verifica e l'ultimo aggiornamento cumulativo per IE8 non sono si installa correttamente su Windows XP SP3 ma permette di risolvere nuovamente il problema del processo SVCHOST.exe che occupa la CPU al 100% e non permette l'update. Ipotizzo che tu abbia scaricato la versione scorretta dal sito di Microsoft. Se mi confermi che stai usando Windows XP SP3 con IE8 in italiano, la patch da installare manualmente è questa: http://tinyurl.com/IE8MS13-088 Prima di installare l'aggiornamento, ferma il servizio "Aggiornamenti automatici" da services.msc cliccando sul pulsante "Arresta".
  2. Avatar
    Lepo
    13/11/2013 13:47:21
    Ogni mese c'è un problema da affrontare con le macchine che montano XP.... :| Questo mese sembra sia necessario bloccare gli aggiornamenti automatici per continuare a usare il PC poichè il processo svchost.exe occupa tutta la CPU e rende inutilizzabile la macchina. Pensando che fosse un problema di IE8 ho scaricato la patch KB2888505 (bollettino MS13-088) che però non si installa manualmente dando il messaggio di errore che la versione di IE non è quella giusta.... :guardaintorno: Ma la fine del supporto per XP non è aprile 2014? Cosa bisogna fare nel frattempo?