Sono sei i bollettini di sicurezza che Microsoft ha rilasciato nella tarda serata italiana di ieri, in orario con il consueto appuntamento mensile degli aggiornamenti di sicurezza dei propri software. Quattro bollettini presentano almeno un problema critico, mentre due sono molto meno pericolosi e risolvono problemi segnati come moderati o importanti.
Due problemi critici riguardano il sistema operativo Windows, uno il browser Internet Explorer e uno i sistemi base di posta elettronica di Microsoft, Outlook Express e il nuovo Windows Mail incluso in Windows Vista. Una vulnerabilità, quella importante, riguarda Visio 2002 e 2003, mentre l'ultima, la meno pericolosa, colpisce Windows Vista nell'edizione standard e in quella x64. Gli aggiornamenti sono, come al solito, scaricabili da Microsoft Update (solo per Internet Explorer) e verranno distribuiti automaticamente attraverso gli aggiornamenti automatici del sistema operativo.
I sei bollettini di sicurezza coprono complessivamente 15 vulnerabilità, di cui sei per Internet Explorer. Windows è colpito nelle versioni Windows 2000, XP e Server 2003 in tutte le diverse edizioni. Vista presenta solo un piccolo problema moderato non condiviso, tra l'altro, con gli altri sistemi. Internet Explorer è vulnerabile dalle versioni 5.01 alla versione 7 e il problema consente di installare da remoto software nocivo anche se il browser viene utilizzato su Windows Vista. I restanti problemi sono stati rilevati su Outlook Express 6 e su Windows Mail.
Sebbene colpito direttamente solo da una vulnerabilità, Windows Vista non esce bene da questa tornata. In primo luogo perché la vulnerabilità descritta nel bollettino MS07-032, sebbene moderata, non è ereditata da nessuno dei sistemi operativi precedenti ed è stata quindi introdotta nel ciclo di sviluppo di Vista. In secondo luogo perché alcune delle vulnerabilità di Explorer non sono mitigate dalla modalità protetta implementata in Vista e presentano dunque lo stesso pericolo che presenta in Windows XP. In terzo luogo perché la vulnerabilità del bollettino MS07-034 è condivisa fra Outlook Express e Windows Mail ma è critica solo nel programma esclusivo per Windows Vista.
Entrambe le vulnerabilità di Windows possono essere sfruttate invitando gli utenti a visualizzare una specifica pagina Web. Quella descritta nel bollettino MS07-031 riguarda il Secure Channel (Schannel) security package, il componente che nei sistemi operativi Windows implementa i protocolli di autenticazione SSL e TSL utilizzate di solito dai siti Web per avviare connessioni Web protette. La vulnerabilità inclusa del bollettino MS07-035 riguarda l'API Win32 di Windows e, come al solito, si può sfruttare a partire da una pagina Web.
Le sei vulnerabilità di Internet Explorer, incluse nel bollettino MS07-033, coinvolgono diversi componenti del browser ma tutte possono essere sfruttate creando ad arte pagine Web contenenti le istruzioni nocive e invitando gli utenti a collegarsi ad esse. I pericoli possono venire da diversi elementi: proprietà CSS mal-interpretate, i soliti ActiveX poco controllati, i pacchetti dei linguaggi che corrompono la memoria.
Outlook e Windows Mail sono vulnerabili a quattro diversi errori. Nel caso più clamoroso, quello che riguarda Windows Mail in Windows Vista, un utente può prendere il controllo del sistema operativo semplicemente inviando un messaggio di posta elettronica e lasciando che l'utente clicchi su un link incluso nella e-mail.
Come al solito è stato aggiornato lo strumento di rimozione malware, il software che esegue un controllo automatico dei più diffusi virus e malware per Windows e che viene automaticamente installato ed eseguito all'atto degli aggiornamenti. In questa nuova versione Microsoft ha aggiunto il riconoscimento di un nuovo malware: il Worm Allaple, conosciuto da febbraio 2007.
