Microsoft nella tarda serata italiana di ieri ha distribuito gli aggiornamenti di sicurezza del mese di febbraio. I problemi riscontrati in Windows e Office sono corposi: degli 11 bollettini di sicurezza 6 infatti sono considerati critici e 5 importanti. Colpiti dalle vulnerabilità sono i software della linea Windows e Office e i software Visual Basic, Internet Explorer oltre a diversi componenti inclusi nei sistemi operativi di Microsoft.
Rispetto a quanto comunicato nei giorni scorsi, Microsoft ha eliminato all'ultimo momento un bollettino di sicurezza, verosimilmente quello dedicato a correggere un problema in Excel noto dallo scorso mese.
È possibile scaricare automaticamente tutti gli aggiornamenti senza attendere la notifica automatica di Windows navigando con il proprio Internet Explorer sul sito Microsoft Update oppure avviare dal menu start di Windows Vista il programma Windows Update. Microsoft Update provvede ad aggiornare anche i programmi compresi nella suite Office il cui download è possibile anche da Office Update.
Le vulnerabilità corrette sono in totale 17. La famiglia Office è colpita nelle versioni dalla 2000 alla 2003, compresa la versione di Microsoft Office 2004 per Mac, mentre i problemi di Windows sono riscontrati in tutte le versioni del software coperte ancora dal supporto: da Windows 2000 a Windows Vista. Internet Explorer è vulnerabile dalla versione 5.01 alla 7 mentre Visual Basic ha problemi nella sua versione 6. I problemi di Office sono riscontrabili di riflesso anche in Works.
Grave il problema descritto dal bollettino MS08-007 il problema all'implementazione di Microsoft del Web-based Distributed Authoring and Versioning (WebDAV), un set di istruzioni che consentono a client Web di eseguire operazioni sui file su server remoti. Il client incluso in Windows non decodifica con sufficiente sicurezza le risposte del server consentendo così l'installazione di programmi nocivi all'insaputa dell'utente. Il servizio non è avviato di default in Windows server 2003.
La vulnerabilità del componente Object linking and embedding (OLE) di Microsoft (MS08-008), usato per includere oggetti diversi in diversi documenti, si potrebbe sfruttare facendo aprire in un sistema che ha installato questi componenti uno script scritto ad arte, anche attraverso un sito Web, che potrebbe spingere il computer a eseguire codice nocivo. Anche in questo caso le protezioni di Windows Server 2003 rendono la vulnerabilità meno pericolosa.
I bollettini critici MS08-009, MS08-012 e MS08-013 riguardano tutti Office. Il primo corregge una vulnerabilità nella gestione di memoria di Word, il secondo di Publisher e il terzo dell'intera suite. In tutti i casi aprendo un file in formato Word, Publisher o simili all'interno dei programmi della suite si potrebbero aprire le porte all'installazione di software pericoloso.
Ad Internet Explorer è dedicato il bollettino MS08-010 che con un solo aggiornamento corregge ben quattro errori di Internet Explorer. Tutti gli errori sono buffer overflow della memoria in cui potrebbe incorrere il browser visualizzando pagine HTML, immagini o eseguendo controlli ActiveX. Delle vulnerabilità una, quella relativa al controllo ActiveX di Visual FoxPro, era nota agli specialisti di sicurezza sin dallo scorso ottobre anche se Microsoft nega che fosse disponibile un Exploit funzionante.
I cinque aggiornamenti importanti riguardano a vario modo componenti presenti in Windows, tra cui il servizio Active Directory, il Web Server Internet Information Services (IIS) e l'implementazione del protocollo TCP/IP.
Microsoft non ha corretto la vulnerabilità di Excel venuta alla luce lo scorso gennaio. Il problema, che affligge Microsoft Office Excel 2003 Service Pack 2, Microsoft Office Excel Viewer 2003, Microsoft Office Excel 2002, Microsoft Office Excel 2000 e Microsoft Excel 2004 per Mac, consente ad un aggressore di installare programmi nocivi semplicemente facendo visualizzare un documento Excel creato ad arte per sfruttare la vulnerabilità. Secondo Microsoft sono esclusi da questo problema gli utenti di Excel 2007 e Microsoft Office Excel 2003 con il Service Pack 3.
