Aggiornamento all'apparenza leggerissimo quello di luglio per Microsoft. I quattro bollettini rilasciati nella tarda serata italiana di ieri non correggono nessuna vulnerabilità considerata critica ma solo vulnerabilità "importanti" che, nella terminologia di Microsoft, designano problemi che, se sfruttati, "potrebbe compromettere la riservatezza, l'integrità o la disponibilità dei dati dell'utente o delle risorse di elaborazione".
In totale i problemi corretti sono 9 e, per la prima volta da gennaio 2004, ad essere coinvolto negli aggiornamenti di sicurezza è anche SQL Server, il sistema database di Microsoft. SQL Server 2005 è addirittura la prima volta che viene corretto da una patch. Oltre a SQL Server, nelle versioni dalla 7 alla 2005 (esclusa la recente 2008), ad essere corretti sono altri software di punta della casa di Redmond. Windows è coinvolto in diversi modi in tutte le versioni attualmente supportate, compreso il recente Server 2008, mentre il server di posta elettronica Exchange nelle versioni Server 2003 e nella nuova Server 2007.
Il problema per Windows Vista e Windows Server 2008 corretto nel bollettino MS08-038, nonostante sia segnato come "importante" potrebbe portare all'esecuzione di codice nocivo. Il problema riguarda Windows Search, il sistema di indicizzazione e ricerca integrato nei due sistemi operativi. Salvando un file, dall'estensione .search-ms, appositamente preparato per sfruttare la vulnerabilità sarebbe possibile eseguire programmi e codici nocivi sul sistema attaccato. Per sfruttare la vulnerabilità è necessario che il file non sia solo aperto ma anche salvato.
Le vulnerabilità di SQL Server (MS08-040) sono in realtà quattro e potrebbero permettere ad un utente di ottenere i privilegi di amministratore e prendere il controllo della macchina attaccata. In tutti i casi è necessario che a sferrare l'attacco, sfruttabile eseguendo comandi o facendo caricare a SQL Server particolari tipi di file appositamente programmati per sfruttare il bug, sia un utente regolarmente autenticato e con accesso al server.
Meno gravi i due ultimi problemi: l'uno riguardante il DNS di Windows, sia lato client sia lato server, l'altro il sistema Outlook Web Access di Exchange Server. Nel primo caso (bollettino MS08-037) si sarebbe potuto modificare il sistema in modo da rispondere a richieste DNS con falsi indirizzi IP, rindirizzando di fatto il traffico verso un sito Web ad altri server; nel problema che riguarda Exchange (bollettino MS08-039) è invece l'applicazione Web che dà accesso alla posta elettronica ad essere vulnerabile a due diversi attacchi di Cross Site Scripting.
L'azienda ha rilasciato inoltre da qualche settimana anche un aggiornamento a Windows Update, il software che si occupa di scaricare e installare aggiornamenti sui sistemi operativi Windows a partire da Windows 98. Il nuovo software rende più veloce la ricerca degli aggiornamenti necessari e, da quanto dichiarato nel blog dedicato a Microsoft Update, potrà arrivare a far risparmiare il 20 per cento del tempo impiegato in precedenza.
