Microsoft, ecco le patch digiugno.

Scritto da Guido Sintoni.

Internet Explorer, le librerie DirectX e lo stack Bluetooth: questi sono i tre prodotti su cui Microsoft ha concentrato i propri sforzi per il patch day di giugno , correggendone vulnerabilit "critiche" descritte in altrettanti bollettini. Per tutti e tre il rischio legato ai bug  quello di esecuzione arbitraria di codice remoto dovuto a una gestione della memoria non ottimale. Proprio in queste ore gli strumenti di aggiornamento automatico (Windows o Microsoft Update e simili) stanno proteggendo le macchine Windows su cui sono installati ed abilitati.

Per Explorer il bollettino MS08-031 parla di una patch cumulativa, a correzione di due bug complessivi; per uno di essi, relativo alla gestione di oggetti Html,  in circolazione da qualche tempo il relativo exploit, che permette di rubare informazioni a un utente che visiti una pagina Web appositamente creata. Microsoft sottolinea come si possa ridurre l'impatto del problema adottando permessi pi restrittivi per gli utenti (ma con possibili ripercussioni negative sulla funzionalit: ad esempio, un blocco troppo drastico dei controlli ActiveX potrebbe impedire la corretta visualizzazione di varie pagine Web). Il problema riguarda tutte le piattaforme Windows, da 2000 a Server 2008, e tutte le versioni di Explorer supportate, dalla 5.01 alla 7.

Anche per DirectX il rischio  l'esecuzione arbitraria di codice remoto accedendo a una risorsa appositamente creata: il bollettino MS08-033 descrive le due relative patch. Per Microsoft, "un attaccante che sfrutti a proprio vantaggio una delle due vulnerabilit pu prendere pieno controllo di un sistema vulnerabile". Il problema riguarda le versioni dalla 7 alla 10 di DirectX, su tutte le piattaforme Windows.

Chiude il quadro Bluetooth: il bollettino MS08-030 circoscrive il bug a sistemi Vista e XP e parla di "possibile presa di controllo di un sistema vulnerabile" a causa di un'errata gestione della memoria nello stack.

Ai tre bollettini che descrivono vulnerabilit critiche se ne affiancano infine altri tre per bug "importanti" e uno per un bug "moderato"; dall'inizio dell'anno Microsoft ha rilasciato 36 bollettini relativi alla sicurezza. L'appuntamento con il prossimo Patch Tuesday  previsto per l'8 luglio. 

Guido Sintoni.

