"Patch day" Microsoft di dicembre: undici aggiornamenti

Sono 11 i bollettini di sicurezza che Microsoft ha pubblicato in occasione dell’ultimo “patch day” dell’anno. Cinque gli aggiornamenti classicati come critici mentre i restanti sei vengono indicati, dai tecnici Microsoft, come “importanti”. Ad essere oggetto degli interventi correttivi sono Windows, Internet Explorer, Office, Lync, SharePoint ed Exchange.

La prima patch da installare senza indugio è sicuramente quella avente identificativo MS13-096. Essa interessa gli utenti di Windows Vista SP2, Windows Server 2008 SP2, Office 2003 SP3, Office 2007 SP3 ed Office 2010 e dovrebbe essere tempestivamente applicata per evitare il rischio di vedere eseguito, sui propri sistemi, codice dannoso semplicemente aprendo o visualizzando un file contenente un file TIFF malevolo. Si tratta dell’atteso aggiornamento che è già stato sfruttato da gruppi di malintenzionati per sferrare attacchi mirati e che è stato oggetto di alcuni nostri articoli, nelle scorse settimane (Windows, patch per sistemare la gestione dei file TIFF; Vulnerabilità nelle vecchie versioni di Office e in Vista).

Anche questo mese, poi, Microsoft ha deciso per il rilascio di un aggiornamento cumulativo per la protezione di Internet Explorer (MS13-097) che questa volta permette di “tappare” sette lacune scoperte nel browser Microsoft. L’aggiornamento interessa tutte le versioni di Internet Explorer (dalla 6.0 alla recentissima versione 11). La patch dovrebbe essere applicata da parte di tutti gli utenti, anche da coloro che preferiscono utilizzare un browser alternativo a quello del colosso di Redmond.
L’unico problema è che, come abbiamo più volte notato, la pubblicazione di un aggiornamento cumulativo per Internet Explorer ha un effetto dirompente per gli utenti di Windows XP SP3: la CPU viene occupata al 100% dal processo SVCHOST.exe ed il sistema diventa praticamente inutilizzabile.
Per risolvere il problema su Windows XP SP3, vi suggeriamo di seguire le nostre indicazioni pubblicate nell’articolo Windows Update, SVCHOST e CPU al 100% su Windows XP SP3.

Altrettanto critico è l’aggiornamento MS13-098 che potrebbe essere sfruttato da un malintenzionato in tutte le versioni di Windows per eseguire codice nocivo. È sufficiente che un utente od un’applicazione eseguano od installino un file eseguibile portable (PE) preparato “ad arte”. Come nel caso della patch relativa alla scorretta gestione dei file in formato TIFF, l’aggiornamento MS13-098 permette di risolvere una problematica già sfruttata dagli aggressori per compiere attacchi mirati.

La patch MS13-099, anch’essa indicata egualmente critica, consente di sanare una pericolosa vulnerabilità presente nel motore Windows Script in tutte le versioni di Windows. Un aggressore potrebbe farvi leva semplicemente invitando l’utente a visitare una pagina web malevola.

L’aggiornamento MS13-100 dovrebbe essere immediatamente installato in ambito server, ove è installato il pacchetto SharePoint così come MS13-105, che permette di risolvere tre pericolose vulnerabilità in Exchange Server.

Le restanti sei patch permettono di sanare delle lacune scoperte nei driver kernel-mode di tutte le versioni di Windows (MS13-101), una vulnerabilità del client LRPC di Windows XP SP3 e Windows Server 2003 che potrebbe agevolare l’acquisizione di privilegi utente più elevati (MS13-102), una falla in ASP.NET SignalR (MS13-103), una “leggerezza” in Office 2013 che potrebbe facilitare la sottrazione di dati personali (MS13-104) ed, infine, un problema presente in Office 2007 e Office 2010 che permetterebbe di scalvalcare la protezione offerta dalla funzionalità ASLR di Windows (MS13-106).

Nella sua consueta analisi mensile, l’Internet Storm Center (ISC) di SANS richiama questa volta l’attenzione degli utenti sulle prime quattro patch, considerate ad elevatissima criticità in ambito client.
Per quanto riguarda le configurazioni server, le patch considerate più critiche sono MS13-096, MS13-098, MS13-100 e MS13-105.
Il prossimo appuntamento con il “patch day” Microsoft è fissato per martedì 14 gennaio 2014.