Come ogni mese, Microsoft ha rilasciato nella tarda serata di ieri gli aggiornamenti programmati per i propri software. L'aggiornamento di settembre, da eseguire sempre automaticamente dal sito Microsoft Update, comprende tre diversi bollettini di sicurezza: due dedicati al sistema operativo Windows e uno alla suite di produttività Office. L'aggiornamento contenuto in quest'ultimo bollettino è l'unico a riparare una vulnerabilità segnata da Microsoft come "critica", il livello massimo di pericolosità. In totale sono tre le vulnerabilità corrette: due per Windows (nelle versioni Server 2003, XP e 2000) e una per Office Publisher (nelle versioni 2000, 2002 e 2003).
Assieme ai tre aggiornamenti, gli utenti di Windows scaricheranno automaticamente anche l'aggiornamento dello Strumento di rimozione malware, arricchito di due nuove definizioni di malware da rimuovere, e un aggiornamento di stabilità che riguarda la riproduzione di file audio in Windows XP.
La principale vulnerabilità, descritta nel bollettino MS06-54, riguarda Microsoft Publisher, un componente della suite Office che si occupa di preparare documenti ricchi di componenti grafici destinati a presentazioni o a pubblicazioni in grandi formati. L'errore riscontrato nel programma è molto simile ai molti rilevati prima e durante l'estate in vari software della suite Office: una errata gestione delle istruzioni contenuti nei file gestiti dall'applicativo (che hanno estensione .pub) potrebbe consentire ad un aggressore di eseguire codice nocivo sul computer dell'utente e dunque di installare programmi, malware, spyware ed eseguire qualsiasi operazione sul computer aggredito. La vulnerabilità potrebbe essere sruttata semplicemente facendo visualizzare all'interno di Publisher un file appositamente preparato per sfruttare la vulnerabilità.
Gli altri due errori, meno pericolosi, riguardano Windows. Quello descritto nel bollettino MS06-52 è segnato come "importante" anche se consente, stando alle informazioni di Microsoft, l'esecuzione da remoto di codice nocivo. Il problema riguarda il protocollo "Pragmatic General Multicast" o PGM, un protocollo che si occupa di gestire trasmissioni di dati con particolare attenzione alla perdita e alla sincronizzazione dei dati. Il protocollo viene installato su Windows solo se è installato il componente Microsoft Message Queuing (MSMQ) 3.0.
L'ultima vulnerabilità, inclusa nel bollettino MS06-53, è "moderata" e riguarda il servizio di indicizzazione di Windows utilizzato, in combinazione con IIS, per eseguire ricerche sui file gestiti dal Web Server. Accessibile anche da applicazioni o script, il servizio è vulnerabile ad attacchi di cross-site scripting quando viene eseguita una query remota sull'interfaccia Web del servizio. L'errore può consentire a un aggressore l'accesso a informazioni conservate sul computer in cui è attivato il servizio.
