In linea con quanto annunciato nell'anticipazione dei bollettini di sicurezza, Microsoft ha rilasciato nella tarda serata di ieri sette bollettini di sicurezza, di cui tre nel complesso giudicati critici e quattro importanti. Ad essere colpiti sono i sistemi operativi Windows, i file della componente grafica DirectX, Internet Explorer e alcuni componenti della linea Windows Media.
A sorpresa l'azienda ha anche rilasciato attraverso Microsoft Update il primo Service Pack per Office 2007: un aggiornamento di più di 220 MByte indirizzato a stabilizzare la nuova versione della nota suite. Come al solito chi volesse scaricare automaticamente tutti gli aggiornamenti senza attendere la notifica automatica di Windows potrebbe navigare con il proprio Internet Explorer sul sito Microsoft Update.
I sistemi Windows colpiti direttamente dalle vulnerabilità sono tutti i principali: dal 2000 a Vista. Le vulnerabilità rilevate in essi sono tuttavia considerate di entità tra il medio e il lieve: alcuni comportano una scalata di privilegi, altre l'esecuzione di codice nocivo da remoto ma solo a determinate condizioni. Critiche le falle rilevate in Internet Explorer dalla versione 5 alla versione 7, ridimensionate a "moderate" se il browser viene eseguito su Windows Server 2000. Problemi gravi per le DirectX che sono vulnerabili a partire dalla versione 7 sino ad arrivare alla versione 10, quella inclusa in Windows Vista. Critici anche i problemi per le componenti multimediali dei sistemi Microsoft, vulnerabili nel Windows Media Format Runtime, il vero e proprio motore di visualizzazione dei formati Microsoft, e nel servizio Windows Media Services incluso in Windows 2003.
Il problema più severo è quello che coinvolge Internet Explorer corretto nel bollettino MS07-069. Le vulnerabilità corrette sono quattro e tutte coinvolgono problemi di buffer overflow. Per una vulnerabilità, quella relativa a codice di HTML dinamico, in rete circolava già un exploit in grado di sfruttare la falla a fini nocivi.
Altrettanto grave, poiché sfruttabile anche senza un intervento diretto dell'utente ma semplicemente facendo visualizzare un sito creato ad arte, è la vulnerabilità della piattaforma Windows Media descritta nel bollettino MS07-068. Il problema riguarda la gestione dei file ASF (Advanced Systems Format) il formato con cui vengono distribuiti file audio o video attraverso la rete Internet.
Il terzo problema critico è incluso nel bollettino MS07-067 e coinvolge due differenti bug delle librerie DirectX. In entrambi i casi si tratta di un errore di gestione di particolari tipi di file audio e video che, se gestiti all'interno dell'ambiente DirectX, possono portare all'esecuzione di codice nocivo sul computer dell'utente. L'attacco può essere perpetrato anche da Internet.
Molto meno gravi i problemi descritti negli altri bollettini: la vulnerabilità del protocollo SMBv2, usato in Windows Vista e nel futuro Server 2008 per operazioni di file sharing, è sfruttabile sono in determinate e precise condizioni, il servizio inoltre è disattivato di default in Vista; il problema del Message Queuing Service (MSMQ), del Kernel di Windows e del driver Macrovision SafeDisc incluso in Windows Vista, 2000 e XP può essere sfruttato solamente da utenti che hanno già eseguito il login del sistema.
Chi esegue l'aggiornamento automatico dal pannello di Windows Vista o dal sito di Microsoft Update si vedrà recapitato automaticamente anche il Service Pack 1 per Office 2007, l'ultima versione della nota suite di programmi per la produttività. Il pacco di aggiornamenti e di stabilizzazione di Office, inizialmente previsto per inizio 2008, non aggiunge novità di rilievo se non, oltre a tutte le correzioni di sicurezza rilasciate nei mesi precedenti, una maggiore compatibilità con il futuro Windows Server 2008 e alcune correzioni di bug noti che causavano il blocco delle applicazioni della suite. Il Service Pack 1 di Office può essere scaricato anche come file singolo da 224 MByte dal sito Microsoft.
