Microsoft Patch Day Aprile 2006
- Creato Mercoledì, 12 Aprile 2006 14:04 Pubblicato Mercoledì, 12 Aprile 2006 13:01 Scritto da www.tweakness.net
- Visite: 21768
Microsoft ha rilasciato i bollettini di sicurezza di Aprile nell'ambito del programma di aggiornamento di protezione realizzato su base mensile (il secondo martedì del mese).
Il colosso ha rilasciato 5 bollettini di sicurezza (per correggere 14 vulnerabilità), precisamente 4 in Microsoft Windows, di cui 3 critiche, e una in Microsoft FrontPage Server Extensions, di rischio moderato. Le vulnerabilità critiche in Windows interessano anche gli utenti dei sistemi operativi più recenti, specificatamente Windows XP SP2, XP x64 e Server 2003 x64.
Uno dei bollettini è l'atteso aggiornamento cumulativo per Internet Explorer che corregge 10 vulnerabilità del browser inclusa la falla "CreateTextRange", scoperta più di due settimane fa. La falla di "esecuzione codice" è causata da un errore nel processing della chiamata al metodo "createTextRange()" quando applicato ad un controllo "radio button". L'exploit di questa vulnerabilità, se condotto con successo, consente l'esecuzione di codice arbitrario sul sistema. Durante le scorse settimane i cyber criminali hanno già tentato di sfruttare la falla prima installando una variante di SDbot, poi un keystroke logger tramite il vettore del social-engineering e spam. In assenza di un patch ufficiale di Microsoft, due note aziende di sicurezza, eEye Digital Security e Determina, avevano rilasciato i rispettivi hotfix non ufficiali per offrire protezione temporanea agli utenti di IE. Questa patch cumulativa per IE include la modifica al comportamento ActiveX di cui abbiamo ampiamente parlato nelle news precedenti. Microsoft, come promesso, ha reso disponibile anche la patch di compatibilità relativa.
| LEGENDA | |
| IMPORTANZA | RISCHIO |
| C = Critica I = Importante M = Moderata |
[RCE] = Remote Code Execution [EoP] = Elevation of Privilege [DoS] = Denial of Service |
| SISTEMI RECENTI AFFETTI | |
| SP2[x] = Presente anche in Windows XP SP2 (con "x" = importanza relativa) SP2() = Almeno una componente di Windows XP SP2 affetta x64[x] = Presente anche in Windows XP x64 (con "x" = importanza relativa) x64() = Almeno una componente di Windows XP x64 affetta |
|
• 4 Bollettini per Microsoft Windows
- MS06-013 Aggiornamento cumulativo per Internet Explorer [RCE] (912812) C SP2() x64()
- MS06-014 Vuln. in Microsoft Data Access Components (MDAC) [RCE] (911562) C SP2() x64()
- MS06-015 Vulnerabilità in Windows Explorer [RCE] (908531) C SP2[C] x64[C]
- MS06-016 Aggiornamento cumulativo per Outlook Express [RCE] (911567) I SP2() x64()
• 1 Bollettino per Microsoft FrontPage Server Extensions
- MS06-017 Vulnerabilità in Microsoft Front Page Server Extensions [RCE] (917627) M SP2() x64()
Microsoft ha anche rilasciato il consueto aggiornamento per lo Strumento di rimozione malware per Microsoft Windows (KB890830), versione 1.15 (Win32/Locksky, Win32/Reatle e Win32/Valla). In aggiunta ai nuovi bollettini di sicurezza di oggi, Microsoft ha anche rilasciato la revisione v2 di una patch, resa disponibile inizialmente durante il Patch Day di Febbraio, che correggeva una vulnerabilità [RCE] in Windows Media Player ed era risultata problematica per alcuni utenti.
- MS06-005 Vulnerabilità in Windows Media Player [RCE] (911565) C SP2[C] x64[C] - Versione 2
Il 4 Maggio avremo notizie sui bollettini di sicurezza di Maggio 2006, previsti il giorno 9 successivo.
