"Patch day" Microsoft di ottobre. Problemi con .NET?

In occasione del “patch day” di ottobre, Microsoft ha rilasciato otto aggiornamenti di sicurezza destinati alla risoluzione di alcuni bug presenti in Windows, Office, Internet Explorer, Silverlight e nel pacchetto .NET Framework.
Degli otto bollettini di sicurezza, quattro sono classificati come “critici”; i restanti come “importanti”.

Tra gli aggiornamenti più critici, da installare nell’immediato, c’è un aggiornamento cumulativo per la protezione di Internet Explorer (MS13-080) che permette di “tappare” ben dieci buchi presenti nel browser Microsoft. L’aggiornamento interessa tutte le versioni di Internet Explorer (dalla 6.0 alla 10), fatta eccezione per Internet Explorer 11, parte integrante di Windows 8.1. La patch dovrebbe essere applicata da parte di tutti gli utenti, anche da coloro che preferiscono utilizzare un browser alternativo a quello del colosso di Redmond.
Nel pacchetto di aggiornamento è ricompresa la patch definitiva per la risoluzione della vulnerabilità venuta a galla qualche settimana fa (Microsoft consiglia di mettere in sicurezza Internet Explorer).

La patch MS13-081 riguarda invece gli utenti di tutte le versioni di Windows e permette di risolvere una falla scoperta nei driver kernel-mode del sistema operativo.

L’aggiornamento successivo (MS13-082) è destinato alla risoluzione di due vulnerabilità che affliggono praticamente tutte le versioni del .NET Framework (fatta eccezione per le vecchissime release 1.0 e 1.1). Il rischio è quello di vedere eseguito codice dannoso nel momento in cui si visiti un sito web contenente fonti di carattere OTF modificate ad arte da un browser che supporta applicazioni XBAP.

Altrettanto “critica” la patch MS13-083 che permette di sanare una lacuna nella liberia Windows Common Control. Un malintenzionato potrebbe sfruittare la vulnerabilità inviando una speciale richiesta ad un’applicazione ASP.NET residente su un server web vulnerabile.

I successivi bollettini di sicurezza (MS13-084; MS13-085; MS13-086) permettono di sanare alcune falle presenti in SharePoint, Excel e Word. L’ultimo aggiornamento (MS13-087), invece, evita la divulgazione di informazioni personali attraverso le applicazioni Silverlight.

Microsoft ha poi provveduto a rilasciare la versione 5.5 del noto Strumento per la rimozione malware. Il prossimo appuntamento con il “patch day” Microsoft è fissato per martedì 12 novembre 2013.

Aggiornamento problematico per .NET Framework 3.5

Noi stessi abbiamo verificato un problema relativo all’applicazione dell’aggiornamento MS13-082. Su alcuni sistemi, dopo aver installato tale patch, Windows Update torna erroneamente a proporre l’installazione della patch KB951847 (Microsoft .NET Framework 3.5 SP1; MS11-100).
Il problema è stato già riscontrato anche da altri utenti (vedere, ad esempio, questa discussione), almeno su Windows XP SP3 e su Windows Server 2003 SP2.
Suggeriamo, per il momento, di non effettuare ulteriori installazioni o manovre aggiuntive. Abbiamo provveduto a contattare Microsoft per chiedere un commento.

Aggiornamento del 17 ottobre 2013. Microsoft ha risolto il problema dell’update KB951847

Microsoft ha risolto il problema relativo all’aggiornamento KB951847. Il vecchio update, che dopo l’applicazione delle patch di ottobre 2013, veniva continuamente riproposto sui sistemi Windows XP SP3 e Windows Server 2003 SP2, da ieri 16 ottobre non viene più mostrato da parte di Windows Update e della funzionalità “Aggiornamenti automatici”.