Precisa come sempre, alle 19 di ieri, ora italiana, Microsoft ha rilasciato gli aggiornamenti mensili relativi al mese di luglio. I bollettini pubblicati sono sei: tre considerati di livello critico, due importante e uno moderato. I problemi critici riguardano Windows, Excel e la piattaforma .Net. Le vulnerabilità importanti sono per Publisher 2007 e per il web server IIS 5.1 incluso in Windows XP Professional, mentre la vulnerabilità “moderata” coinvolge Windows Vista.
Come al solito chi volesse aggiornare automaticamente il sistema senza attendere la notifica automatica di Windows potrebbe navigare con il proprio Internet Explorer sul sito Microsoft Update, mentre i singoli file per correggere i problemi sono scaricabili sulle pagine dei bollettini. Chi dovrà correggere una copia di Office 2000 dovrà visitare invece Office Update.
I sei bollettino coprono 11 diverse vulnerabilità: cinque critiche, cinque importanti e una moderata. Excel è colpito nelle versioni dalla 2000 alla 2007 compresa, ma il problema è critico solo nella versione più datata. Critico anche il problema alle Active Directory di Windows 2000 con service Pack 4 che diventa solo moderato nelle versioni Server 2003. Compresi nelle correzioni lievi sia IIS 5.1 sia il firewall di Windows Vista. Non compare in nessuno dei bollettini, ed è caso raro, Windows XP Home. Grave il problema della piattaforma .Net che andrà aggiornata dalla versione 1 alla versione 2.
I problemi critici riscontrati su Windows (MS07-039) coinvolgono entrambi il servizio Active Directory, utilizzato per gestire svariate attività centralizzate in ambienti di lavoro. Due le vulnerabilità: una consentirebbe, inviando anche solo un pacchetto malformato se il sistema aggredito è Windows 2000, l’esecuzione di codice nocivo da remoto; una seconda, meno grave, la semplice interruzione del servizio.
Le vulnerabilità della piattaforma .Net, descritte nel bollettino MS07-040, sono tre, due delle quali possono comportare l’esecuzione di codice nocivo semplicemente spingendo un utente alla visualizzazione di un sito Web che fa uso di programmazione .Net. Una vulnerabilità, la più pericolosa perchè coinvolge al grado critico utenti di Windows 2000 e Windows XP, riguarda il PE Loader, il componente che inizializza le applicazioni .Net, mentre una seconda è relativa al compilatore just-in-time. La terza vulnerabilità, critica solo in alcune configurazioni di Windows, permette di accedere con facilità a file di configurazione di siti Web.
La vulnerabilità del web server IIS 5.1, installato, ma non di default, su Windows XP Professional, è segnata come importante anche se le sue conseguenze potrebbero essere molto più pericolose. Il bug del Web Server infatti permette ad un aggressore di eseguire codice nocivo sul sistema che ospita il web server semplicemente inviando una richiesta creata ad arte.
Componenti di Office sono corretti nei bollettini MS07-036 e MS07-037. Il primo corregge tre problemi di Microsoft Excel, critici solamente nella versione 2000 del software. Tutti permettono comunque l’esecuzione di codice nocivo da remoto facendo aprire ad un utente un file Excel con le istruzioni che possono sfruttare l’errore. Il bollettino MS07-037 copre un problema simile ma relativo a Microsoft Office Publisher 2007, incluso solo nella più recente versione di Office, la 2007.
La vulnerabilità di Vista (MS07-038) è di leggera entità ma riguarda un componente fondamentale della sua sicurezza: il firewall. Il problema permetterebbe di superare facilmente alcune limitazioni del firewall di Windows Vista utilizzando come tramite Teredo, un protocollo utilizzato per facilitare l’uso dei moderni pacchetti IPv6.
Come ogni mese è stato aggiornato lo strumento di rimozione malware, il software che esegue un controllo automatico dei più diffusi virus e malware per Windows e che viene automaticamente installato ed eseguito all'atto degli aggiornamenti. In questa nuova versione Microsoft ha aggiunto il riconoscimento di un nuovo malware: il Trojan Busky, conosciuto dall’agosto 2006.
