5095 Letture

"Patch day" Microsoft di ottobre: otto aggiornamenti

Anche questo mese ci soffermiamo ad analizzare gli aggiornamenti di sicurezza che Microsoft ha rilasciato per i suoi software. Il "patch day" di ottobre è piuttosto "corposo": il colosso di Redmond ha infatti pubblicato otto bollettini: ciascuno di essi consente di sanare vulnerabilità scoperte in Windows, Internet Explorer, Office, .NET Framework ed in alcuni strumenti destinati agli sviluppatori.

Gli aggiornamenti che i tecnici Microsoft giudicano più critici sono tre: MS14-056, MS14-057 e MS14-058.
Il primo consente di risolvere ben quattordici vulnerabilità in tutte le versioni di Internet Explorer (dalla 6.0 alla 11): la lacuna di sicurezza più grave può consentire ad un malintenzionato di eseguire codice arbitrario sul sistema della vittima semplicemente persuadendo l'utente a visitare una pagina web dannosa.


Nell'articolo Perché installare gli aggiornamenti di Internet Explorer? abbiamo spiegato il motivo per cui è importante installare gli aggiornamenti per Internet Explorer anche qualora si utilizzassero browser web differenti (ad esempio Firefox, Chrome, Safari, Opera e così via).

La patch MS14-057 è forse ancor più critica, soprattutto in ambito server, allorquando si utilizzassero applicazioni .NET. Un aggressore potrebbe essere infatti in grado di eseguire codice dannoso inviando un indirizzo contenente caratteri non standard ad un'applicazione web .NET. La funzionalità vulnerabile è disattivata per impostazione predefinita in .NET Framework 4.0 e versioni precedenti mentre risulta sempre abilitata nel .NET Framework 4.5.


L'aggiornamento successivo, MS14-058, consente di sanare una vulnerabilità individuata in tutte le versioni di Windows che potrebbe essere sfruttata per eseguire codice dannoso invitando l'utente ad aprire un documento oppure a visitare una pagina web contenente particolari fonti di carattere TrueType.

Tra i restanti aggiornamenti, una menzione speciale merita MS14-060.
La lacuna risolvibile mediante l'installazione di questo aggiornamento, infatti, sarebbe stata utilizzata da un gruppo di criminali informatici russi per spiare le attività della NATO e di agenzie governative polacche ed ucraine.
In questo caso l'esecuzione di codice nocivo si può verificare nel momento in cui un aggressore riuscisse a convincere l'utente ad aprire un documento Office contenente oggetti OLE appositamente modificati "ad arte".

Gi altri aggiornamenti consentono di risolvere una vulnerabilità in ASP.NET MVC (MS14-059), in Microsoft Word così come nelle applicazioni Web di Office (MS14-061) e nel driver di sistema FASTFAT che, interagendo in maniera scorretta con le partizioni formattate con il file system FAT32, può consentire di eseguire attività con privilegi utente più elevati (MS14-062).

Il prossimo appuntamento con il "patch day" Microsoft è fissato per martedì 11 novembre.

  1. Avatar
    wio
    16/10/2014 20:10:19
    Citazione: ....non dico che tutti i mesi ci siano dei problemi... ma quasi!
    ...siete allora frà i pochi fortunati :eheheh:
  2. Avatar
    magopenguin
    16/10/2014 19:14:20
    Aspettare ci ho pensato anche io,ma non è proprio la migliore delle 'politiche' . Pensa che quando rilasciano gli aggiornamenti,questi risolvono (almeno teoricamente) falle esistenti già da tempo. Aspettare ulteriormente non mi pare il massimo. Sono loro che devono lavorare seriamente e sopratutto testare cosa rilasciano e in che modo.
  3. Avatar
    Johannes
    15/10/2014 19:32:17
    Io sono anni che aspetto ALMENO il venerdì sera per installare gli aggiornamenti. Così, oltre a non fare da cavia, non mi ritrovo il mercoledì con il computer piantato. Non dico che tutti i mesi ci siano dei problemi... ma quasi! Johannes
  4. Avatar
    magopenguin
    15/10/2014 19:06:45
    Il mese scorso problemi e questo mese pure? Ma vogliamo essere seri oppure no!!? Microsoft ci ha rotto le P@@..e! Non sono uno che si arrabbia facilmente ,ma questi insistono a rovinarci i PC e la salute! Io ieri sera li ho fatti ma devo ripristinare l'immagine per via di un inconveniente proprio riguardante gli Update. A parte il fatto che per l'installazione di quel coso,come si chiama,ah Strumento rimozione malware (le uniche cose da rimuovere sarebbero le poltrone di alcuni che lavorano,ops "lavorano" li dentro) ho dovuto aspettare moltissimo tempo. Il riavvio Idem e ho preferito spegnere e rifare il tutto quando arrivato a casa l'indomani (sarebbe stasera) Anzi,dirò di più. Stavo per ripristinare appena avviato il PC,ma ho detto: vuoi vedere che si parla di aggiornamenti stasera riguardo gli Update di ieri? Fammi controllare prima di ripristina re e aggiornare. Detto fatto,e ho visto bene.. Decisamente disapprovazione :disapprovato:
  5. Avatar
    Sampei Nihira
    15/10/2014 17:57:31
    Nel pc di mia figlia, che ha lo stesso OS del tuo pc, ho effettuato ieri sera 13 aggiornamenti. Ho avuto anche io un problemino. Un aggiornamento non è riuscito,purtroppo non posso ricordare adesso che non ho acesso a quel pc, quale. Ho proceduto alla disinstallazione dell'aggiornamento incriminato e poi dopo un reboot ho proceduto alla sua nuova installazione. Non ci sono stati più problemi. In effetti mi aspettavo da questo corposo aggiornamento qualche problemino. Ecco perchè ho controllato immediatamente la cronologia.
  6. Avatar
    aramis3
    15/10/2014 14:56:26
    Un saluto. PC comperato 7 mesi fa con W 7 SP1 64 BIT PRO. NOD32 antivirus release 7. Firewall di Windows. Alice 7 mega. Fino ad ora nessun problema ogni mese nello effettuare WU del Sistema Operativo. Stamani ho lanciato WU, mi ha rilevato la presenza di 14 aggiornameneti importanti e 3 facoltativi. Ho settato la opzione di scaricarli ed installarli tutti. Il PC si collega ad internet e scarica tutti gli aggiornamenti e li installa. Poi mi viene richiesto il riavvio che pero' non si realizza mai in quanto il PC si impalla, lo HD mostra il LED di ativita' sempre accesso e lo schermo e' tristemente nero oppure il PC (1 sola volta) e' riuscito ad accendersi ma con estrema lentezza e ha subito un rallentamento netto nel caricare i programmi. Devo spegnere manualmente. Ho effettuato un restore ad un backup precedente con ACRONIS TRUE IMAGE e attendo di sapere se questo corposo aggiornamento non abbia qualche problema. Grazie per eventuali info. Aramis