Come indicato nel bollettino di notifica che solitamente precede la pubblicazione delle patch, Microsoft ha rilasciato nella tarda serata italiana di ieri quattro bollettini di sicurezza: uno per software del sistema operativo Windows e tre per software inclusi in Microsoft Office. Gli aggiornamenti sono, come al solito, scaricabili da Microsoft Update (solo per Internet Explorer) e verranno distribuiti automaticamente attraverso gli aggiornamenti automatici del sistema operativo.
Da questo mese l'aggiornamento di Microsoft sarà utilizzato anche per installare il nuovo browser Internet Explorer 7 in italiano. L'utente sarà comunque avvertito dell'installazione che potrà essere così impedita. Chi volesse bloccare la richiesta stessa di installazione può anche utilizzare l'Internet Explorer 7 Blocker Toolkit distribuito da Microsoft stessa.
I bollettini includono 10 diverse vulnerabilità, di cui 7 sono considerate critiche che, nella terminologia di Microsoft, indica problemi che possono far eseguire sul computer remoto codice nocivo senza particolari interventi dell'utente. Coinvolti nell'aggiornamento sono tutte le versioni di Microsoft Windows ad esclusione di Windows Vista e tutte le versioni di Internet Explorer, compreso Explorer 7. I componenti di Office che presentano problemi sono Outlook, nelle versioni 2000, 2002 e 2003, e Microsoft Excel, nelle stesse versioni di Outlook. Vulnerabili anche le versioni di Works 2004 e 2005 e di Office per Mac. Come emerge dall'elenco dei componenti coinvolti nell'aggiornamento, i problemi maggiori si riscontrano a livello di computer client.
Microsoft non ha pubblicato in questo aggiornamento le tre vulnerabilità di Word emerse ad inizio dicembre. Sono le vulnerabilità più pericolose tuttora in circolazione e per le quali sono diffuse in rete exploit funzionanti in grado di eseguire codice nocivo sui computer degli utenti. Probabilmente a queste facevano riferimento i quattro bollettini annunciati nel fine settimana scorso e poi ritirati dall'azienda.
La vulnerabilità che appare più pericolosa è quella che riguarda i file Excel e che è stata corretta dal bollettino MS07-002. In questo caso, e per cinque distinti problemi, un aggressore avrebbe potuto installare sul computer dell'utente dei programmi nocivi semplicemente facendo eseguire un file del foglio di calcolo all'interno di Microsoft Excel (2000, 2002, 2003) o all'interno dell'Excel Viewer nella versione 2003.
Il bollettino MS07-004 corregge invece una vulnerabilità, già oggetto del bollettino straordinario MS06-055, nella gestione dei file Vector Markup Language (VML). Il pericolo potrebbe consentire l'installazione di codice nocivo semplicemente facendo visualizzare un file grafico in formato .wml in un software, come Explorer o Outlook, che fa uso del componente adibito alla visualizzazione di questi file, già più volte corretto in diversi bollettini di sicurezza precedenti.
Ad essere coinvolto nel bollettino MS07-003 è invece Microsoft Outlook. Del programma di posta elettronica vengono corretti tre diversi problemi di cui solo uno considerato critico (nella versione Outlook 2000). Il problema critico è sfruttabile facendo visualizzare all'interno del programma un file del tipo Office Saved Searches (.oss), file utilizzati per la memorizzazione di ricerche avanzate eseguite all'interno di Microsoft Office.
È stato aggiornato anche lo strumento di rimozione malware, il software che esegue un controllo automatico dei più diffusi virus e malware per Windows e che viene automaticamente installato ed eseguito all'atto degli aggiornamenti. In questa nuova versione Microsoft ha aggiunto il riconoscimento del malware Haxdoor, un rootkit scoperto nel 2003 in grado di nascondere software nocivo sul computer dell'utente.
Secondo lo Zero-Day Tracker eEye Research, comprendendo le correzioni di questi bollettini, sono 8 i problemi riscontrati in software Microsoft che non hanno ancora ricevuto protezione da Redmond. Solo una di queste è considerata critica. Da questo mese anche il SANS Institute mantiene aggiornata una pagina in cui sono raccolte le patch non ancora rilasciate da Microsoft (The missing Microsoft patches): secondo il prestigioso sito di analisi di sicurezza informatica al momento sono 11 le patch che non sono arrivate da Redmond e 4 di queste sono critiche.
