Microsoft ha rilasciato, come ogni secondo martedì del mese, le patch di sicurezza relative ai propri software. Le vulnerabilità segnalate sono tre, compresa la patch per la vulnerabilità dei file Wmf, e sono tutte critiche. Critico, nel linguaggio standard dei bollettini di sicurezza Microsoft, identifica una vulnerabilità che può dare luogo alla propagazione automatica di virus e worm, senza l'intervento diretto dell'utente.
Le vulnerabilità riguardano tutte le versioni di Windows a partire dalla 98, il client di posta elettronica Outlook e il server mail Microsoft Exchange. Tutti gli aggiornamenti possono essere scaricati e installati automaticamente da Microsoft Update. Per chi ha delle copie installate di Outlook 2002, deve installare gli aggiornamenti a partire dal sito Office update.
La vulnerabilità dei file Wmf, la cui patch è stata pubblicata da Microsoft lo scorso 5 gennaio, riguarda una funzione inclusa nel Graphics Rendering Engine (Gre). L'exploit di questa funzione consente di installare codice nocivo semplicemente visualizzando, nei programmi che accedono alla Gre, file Wmf appositamente formattati.
Del tutto nuovo è invece il problema di Windows. Visualizzando caratteri Web denominati Embedded Open Type, inclusi in pagine Web attraverso un foglio di stile e visualizzabili grazie a file del tipo .eot, è possibile installare sul computer codice nocivo semplicemente visualizzando una pagina Web che ha incluso il metodo per sfruttare la vulnerabilità. Il computer è infettabile non solo attraverso Internet Explorer ma anche per mezzo di e-mail visualizzate in Outlook.
La falla che riguarda il client di posta elettronica Outlook e il server Mail Exchange deriva da un mancato controllo sul formato Transport Neutral Encapsulation Format (Tnef), un particolare formato, alternativo a quello testuale e Html, con cui Outlook può inviare o ricevere messaggi di posta elettronica. Sia visualizzando il messaggio attraverso Outlook, sia facendolo gestire da Microsoft Exchange, è possibile installare codice nocivo sul computer.
Non si ferma intanto la saga dei file Wmf. Alle vulnerabilità scoperte nell'ottobre 2004, nel novembre 2005 e nel dicembre 2005, si è aggiunto un Denial Of Service divulgato, e non acora corretto, sulla mailing list bugtraq. Microsoft ha fatto sapere che il bug è solamente una questione di prestazioni del sistema operativo: è in grado di bloccare solamente l'applicazione che visualizza i file e non comporta problemi di sicurezza.
