Bug e correzioni: un raro fix di emergenza di Microsoft

Microsoft si sarebbe sentito come il piccolo olandese nel corso dell'ultimo mese, colmando i buchi con le patch regolari e con rare correzioni fuori ciclo in un tentativo di impedire agli aggressori di passare attraverso.

La patch fuori-ciclo, fondamentale per tutte le versioni di Internet Explorer su 2000, XP e Vista, affronta la gestione di IE di controlli ActiveX imperfetti creati con Microsoft Active Template Library (ATL), uno strumento per sviluppatori incluso in Visual Studio. I PC a rischio potrebbero essere colpiti da un attacco drive-by-download. Questa grave vulnerabilità interessa molti controlli ActiveX. Ad esempio, Adobe ha confermato sul suo sito di sicurezza che i controlli ActiveX di Shockwave e Flash Player "sfruttano le versioni vulnerabili di ATL" e che sta lavorando a una correzione. Il problema riguarda anche IE su Windows Server 2003 e 2008, ma è giudicato moderatamente severo su quei sistemi operativi.

Correzioni zero-day

La normale patch Tuesday di Microsoft ha chiuso molti altri buchi, incluso un difetto zero-day che stato sotto attacco e coinvolto un controllo ActiveX utilizzato da Microsoft Video. Anche se la patch ha disabilitato il controllo, che non ha avuto uno scopo legittimo, non ha corretto il difetto sottostante. La correzione, fondamentale per Windows XP e moderata per Windows Server 2003, non influisce su Windows 2000, Vista o Server 2008.

[Ulteriori informazioni: Come rimuovere malware dal PC Windows]

Una seconda correzione interrotta attacchi all'elaborazione di contenuti QuickTime da parte di Microsoft DirectShow. Gli attacchi, che non dipendevano dall'avere installato QuickTime di Apple, potrebbero attivarsi se una vittima ha aperto o visualizzato in anteprima un file QuickTime avvelenato. DirectX 7, 8.1 e 9.0 su Windows 2000 necessitano della correzione, così come DirectX 9.0 su XP e Server 2003. Vista e Server 2008 ottengono un passaggio.

Altre correzioni critiche hanno indirizzato buchi nel modo in cui tutte le versioni supportate di Windows gestiscono i caratteri in Pagine Web, e-mail e documenti di Office. I difetti del motore Font Embedded OpenType non erano stati attaccati prima del rilascio della patch, ma sono dozzy.

Un difetto grave in Microsoft Office Web Components riguarda un problema ActiveX che consente attacchi agli utenti di IE. Una vasta gamma di componenti e versioni di Office richiede la correzione; per l'elenco completo del software interessato, consultare la pagina Microsoft collegata.

È possibile recuperare tutte le correzioni sopramenzionate tramite Windows Update.

Patch Adobe e Firefox

Microsoft non è stata l'unica a soffrire di zero -giorno minaccia nell'ultimo mese. Adobe, un altro popolare obiettivo, ha rilasciato correzioni per Flash (su tutte le piattaforme), nonché per Reader, Air e Acrobat, dopo i report di attacchi che utilizzavano PDF avvelenati per sfruttare difetti Flash. Per proteggersi da questi attacchi multiformi, assicurati di aggiornare tutte le tue app Adobe. Scarica Flash versione 10.0.32.18 e l'ultima versione di Air nel sito di Adobe. Per Reader, aggiornare alla versione 9.1.3 aprendo il programma e scegliendo Strumenti, Controlla aggiornamenti. Consulta il bollettino sulla sicurezza di Adobe per i link agli aggiornamenti di Acrobat per Mac e Windows, insieme a ulteriori dettagli.

Per concludere i tuoi must, gli utenti di Firefox devono eseguire l'aggiornamento alla versione più recente per applicare correzioni multiple per vari buchi nella versione 3 e 3.5, incluso un grave difetto nella gestione di JavaScript da parte di 3.5, oltre a un problema che riguarda l'utilizzo di certificati SSL da parte di Firefox 3 per crittografare le connessioni Web sicure (3.5 era già al sicuro da quel difetto). Fai clic su Guida, Controlla aggiornamenti per confermare che hai la versione più recente. E se sei ancora sulla versione 3, visita il sito di Firefox per scaricare 3.5; è un aggiornamento relativamente indolore.