Microsoft, le patch di settembre sonoquattro.

Scritto da Guido Sintoni.

Solo quattro bollettini , pur se tutti a copertura di vulnerabilit definite critiche, rendono leggero il lavoro di sistemisti e utenti privati per rendere sicure le proprie macchine Microsoft. Insomma, c' in tutti e quattro i casi il rischio di esecuzione arbitraria di codice remoto, ma quello di settembre  un Patch Tuesday non certo gravoso.

La prima patch, descritta nel bollettino MS08-052 , risolve cinque vulnerabilit di Windows GDI+ , il motore grafico di Windows che costituisce uno dei tre cardini di ogni sistema operativo di Redmond: gli altri due sono il kernel e le Api per le interfacce utente. Si tratta di bug che riguardano tutte le versioni di Windows e di software Microsoft, da Internet Explorer al framework .Net: l'aggiornamento  necessario perch  possibile eseguire codice arbitrario semplicemente dando in pasto al motore grafico (ad esempio via Web, con Explorer) un'immagine appositamente creata. I formati vulnerabili sono Vml, Emf e i ben pi comuni Bmp, Gif e Wmf (Windows Media File).

La patch descritta dal bollettino MS08-053 si occupa di un bug di Windows Media Encoder 9, che  soggetto a buffer overflow: basta visitare una pagina Web specificamente creata per prendere possesso del sistema vulnerabile. Anche il bollettino MS08-054 riguarda un componente multimediale di Windows: stavolta  Windows Media Player 11 a rivelarsi attaccabile a causa di un' errata gestione della memoria , e a prestare il fianco all'esecuzione di codice. Nel caso specifico, basta richiamere un file audio erogato da un server Windows Media Server.

L'ultima patch riguarda Office: la descrive il bollettino MS08-055 , che corregge una vulnerabilit del componente OneNote. Interessa Office Xp Sp3, Office 2003 Sp2, Office System 2007 e Office System 2007 Sp1, e Office OneNote 2007 (anche con Service Pack 1): basta seguire una Url appositamente creata per OneNote per provocare un buffer overflow.

La patch pi delicata tra le quattro, se non altro per portata,  la prima: GDI+  stato corretto pi volte dal 2004, quando si  rivelato per la prima volta vulnerabile. Se Windows Update e gli altri strumenti di aggiornamento per software Microsoft ne rendono semplice l'aggiornamento, sono le applicazioni di terze parti che fanno uso di questo componente, o parti di esso, a destare preoccupazione; sta quindi ai singoli vendor proporre eventuali patch.

Il prossimo Patch Tuesday - che, come al solito, arriver agli utenti italiani di mercoled -  previsto per il 14 ottobre.

Guido Sintoni.

