In linea con quanto annunciato nell'anticipazione dei bollettini di sicurezza, Microsoft ha rilasciato nella tarda serata di ieri otto bollettini di sicurezza, di cui ben sei nel complesso giudicati critici e due importanti. Ad essere colpiti sono i sistemi operativi Windows, Internet Explorer, alcuni componenti della linea Windows Media, i principali software di Office e Works, Visual Studio e, ma è uno dei bollettini meno gravi, Microsoft Search Server 2008
È possibile scaricare automaticamente tutti gli aggiornamenti senza attendere la notifica automatica di Windows navigando con il proprio Internet Explorer sul sito Microsoft Update oppure avviare dal menu Start di Windows Vista il programma Windows Update. Microsoft Update provvede ad aggiornare anche i programmi compresi nella suite Office il cui download è possibile anche da Office Update.
Le vulnerabilità corrette sono 28, il numero più alto di tutti i bollettini rilasciati fino ad oggi. L'Exploitability Index, ossia la tabella con cui Microsoft giudica la possibilità che un errore possa trasformarsi in un pericolo concreto, indica che da ben 11 di queste vulnerabilità è facilmente ricavabile un exploit funzionante. Windows è colpito in tutte le sue versioni attualmente supportate, come lo è anche Internet Explorer e Office (a causa di alcuni errori in Word ed Excel). Errori trasversali anche per Visual Studio (da Visual Basic 6.0 a Visual Studio .Net 2003), mentre più lievi gli errori di Sharepoint Server 2007, Search Server 2008 e di alcuni componenti di Windows Media.
Particolarmente noiosi i problemi corretti nel bollettino MS08-071 che corregge una vulnerabilità nella GDI (Graphics Device Interface), l'interfaccia che in Windows gestisce le immagini. Facendo aprire a un software che utilizza la GDI un file in formato WMF appositamente creato per sfruttare la vulnerabilità è possibile eseguire codice nocivo sul computer dell'utente e installare trojan e altri malware.
Fonte di pericolo dall'esterno anche l'errore nel sistema di ricerca Windows Vista e Windows Server 2008, gli unici due sistemi obiettivo delle correzioni contenute nel bollettino MS08-75. Il servizi di ricerca interno di Windows può essere interrogato dall'esterno utilizzando un set di istruzioni (il search-ms protocol) anche da applicazioni come Internet Explorer. Un errore nella programmazione di questo protocollo permetterebbe ad un aggressore di eseguire codice nocivo spingendo l'utente a visitare un sito Web contenente l'exploit.
Corposi come al solito gli aggiornamenti per Internet Explorer. Ad essere coinvolti sono vari componenti: dalle chiamate ad oggetti non più supportati fino agli errori che possono derivare dall'interpretazione di codice HTML non corretto. Tutti gli errori, sono 4, vengono corretti dagli aggiornamenti raccolti dal bollettino MS08-073.
Ben 6 gli errori riscontrati da Microsoft nelle versioni di Visual Studio e Visual FoxPro, tre dei quali riguardano anche Frontpage 2002, Project 2003 e 2007. Gli errori, descritti nel bollettino MS08-070, sono tutti relativi ad una modifica della memoria di sistema derivante da alcune istruzioni non corrette. In primo piano nella scala del pericolo vi sono alcuni controlli di Visual Basic e Visual FoxPro: Datagrid, Flexgrid, Charts e Masked Edit.
Accomunati da diverse similitudini i bollettini MS08-072 e MS08-074. Entrambi riguardano due dei programmi più utilizzati della suite Office, Excel e Word, ed entrambi possono essere sfruttati facendo leggere ai due software alcuni file formattati in modo tale da indurre il programma in errore. Particolarmente corposo il bollettino dedicato a Word che corregge ben 8 errori, dedicati soprattutto ai file in formato RTF.
