Microsoft ha rilasciato nella tarda serata italiana di ieri 10 nuovi bollettini di sicurezza che riparano 12 vulnerabilità di Windows, Microsoft Exchange e Microsoft Internet Security and Acceleration Server (ISA). I problemi più rilevanti toccano Windows, con ben 3 vulnerabilità giudicate critiche. Le vulnerabilità che riguardano i restanti prodotti software sono invece da considerarsi di livello tra il moderato e l'importante. In alcuni casi sarà necessario riavviare il computer per rendere effettive le modifiche di sicurezza. Per tutti è consigliabile visitare il sito di Windows Update.
Le vulnerabilità critiche più importanti riguardano Internet Explorer, l'Help di Windows e il servizio SMB di condivisione di file e stampanti. Praticamente tutte le versioni di Windows sono coinvolte dal problema: da Windows XP con il Service Pack 2, passando a Windows Server 2003 con il Service Pack 1 sino a finire a Windows 2000, Windows ME e Windows 98. Anche Internet Explorer, a partire dalla versione 5.01, può considerarsi a rischio.
Tra gli altri software coinvolti con vulnerabilità importanti o moderate ricordiamo Outlook Express (versione 5.5 e versione 6), il Microsoft Windows Services (versione 2.2, 3 e 3.5), l'ISA Server 2000 con il Service Pack 2 e Exchange 5.5 con il Service Pack 4.
Tre, dunque, i bollettini che mettono riparo a vulnerabilità critiche. Il primo, segnato MS05-025, riguarda Internet Explorer, dalle versioni 5.01 alle versioni 6 installate su tutti i Windows. Il bollettino comprende due vulnerabilità nella gestione dei file PNG e nella gestione dei file XML e solo la prima può condurre all'esecuzione di codice nocivo sul computer dell'utente. Nel primo caso si tratta di un errore di gestione dei file immagine PNG che può causare un buffer overflow sul sistema se, con il browser, si visitano pagine contenti immagini create ad arte per causare e sfruttare il bug. Nel secondo caso si tratta di una cattiva gestione di alcune impostazioni dei file XML che possono portare alla visione, da parte dell'aggressore, del file system dell'utente e di dati presenti su altri siti.
Il secondo bollettino critico, segnato MS05-026, riguarda il già vessato sistema di HELP di Windows che non valida a dovere alcuni dati ad esso inviati. Un aggressore potrebbe forzare un utente a visitare una pagina Web contenente il codice nocivo e installare sul sistema aggredito programmi e software a piacimento.
Il terzo bollettino critico, MS05-027, riguarda il protocollo Server Message Block (SMB) che permette a Windows di condividere file e stampanti in una rete. La vulnerabilità, che affligge il sistema di validazione dei pacchetti in arrivo su una macchina, può condurre nella peggiore delle ipotesi all'esecuzione di codice nocivo sul computer e dunque alla caduta del sistema nelle mani dell'aggressore. Se sfruttato in modo incompleto, il bug può comunque portare ad un blocco del computer aggredito (Denial Of Service).
Assieme ai bollettini di di sicurezza, Microsoft ha anche aggiornato il cosiddetto Microsoft Windows Malicious Software Removal Tool ('Strumento di rimozione malware'), il programma che viene installato automaticamente su Windows XP all'atto dello scaricamento degli aggiornamenti e che provvede a controllare, da una lista in continuo aggiornamento, la presenza di software autoinstallante. Per i possessori di Windows 2000 e di Windows Server 2003, il software può essere scaricato ed eseguito dal sito Microsoft.
Questa è la prima release di sicurezza rilasciata dopo l'aggiornamento del sistema di update di Microsoft. Lo scorso 8 giugno Redmond ha infatti annunciato l'aggiornamento sia del Windows Update utilizzato dall'utenza domestica, sia del Server Update Services per reti di computer, chiamato da allora Windows Server Update Services (WSUS). I nuovi sistemi, oltre a notevoli migliorie, offrono una maggiore centralizzazione degli aggiornamenti. Dal nuovo Windows Update, infatti, è possibile installare anche gli aggiornamenti per Office, Exchange e altri prodotti Microsoft, una volta accessibili da punti diversi del sito. Mentre il nuovo Windows Server Update Services consente di selezionare con più efficacia gli aggiornamenti disponibili.
