Sono sei i bollettini di sicurezza che Microsoft ha rilasciato nella tarda serata italiana di ieri. Di questi tre sono considerati critici, quattro importanti e uno moderato. Ad essere coinvolto negli aggiornamenti di giugno è solo il sistema operativo Windows nelle sue varie componenti: Internet Explorer, DirectX, Bluetooth e altri.
È possibile scaricare automaticamente tutti gli aggiornamenti, senza attendere la notifica automatica di Windows, navigando con il proprio Internet Explorer sul sito Microsoft Update oppure avviare dal menu start di Windows Vista il programma Windows Update. Microsoft.
Le vulnerabilità corrette sono in totale dieci e coinvolgono tutti i sistemi Windows supportati sino ad oggi da Redmond. Il sistema operativo più colpito è Windows XP che contiene tutti e tre i problemi considerati da Microsoft critici. Al completo delle vulnerabilità più pericolose anche Windows Vista che tuttavia non offre due dei problemi "importanti" che invece sono presenti in Windows Server 2003 e Server 2008.
Particolarmente noiosa la vulnerabilità più pericolosa delle due che affliggono Internet Explorer (MS08-031). Il browser, nelle versioni dalla 5.01 alla 7, contiene un problema nella gestione del codice HTML e potrebbe essere indotto a scaricare ed eseguire qualsiasi tipo di file senza l'intervento dell'utente. La vulnerabilità può essere sfruttata semplicemente visualizzando una pagina Web.
Pericolosa anche la vulnerabilità descritta nel bollettino MS08-030. Un errore nello stack bluetooth di Windows consentirebbe ad un utente di eseguire software sul computer dell'utente semplicemente inviando delle particolari richieste bluetooth ad un computer che ha il servizio in esecuzione. Anche in questo caso l'aggressore potrebbe installare software nocivo, cancellare dati e prendere il controllo del sistema.
La terza vulnerabilità critica, descritta nel bollettino MS08-033, coinvolge invece i servizi DirectX, la tecnologia di Microsoft utilizzata soprattutto per la gestione di videogiochi ad alto impatto grafico. In questo caso il pericolo interviene quando viene letto, da un programma che fa uso delle librerie DirectX, un file MJPEG preparato ad arte per sfruttare il problema. Se letto ed eseguito, il file potrebbe aprire il computer colpito ad ogni azione nociva.
Due dei bollettini classificati come importanti coinvolgono solo servizi installati nelle versioni server di Windows. Il primo, bollettino MS08-034, coinvolge il Windows Internet Naming Service (WINS), il servizio che in Windows si occupa di tradurre i nomi NetBios trovati in rete in corrispondenti indirizzi IP. È vulnerabile solo nelle versioni server di Windows 2000 e in Windows Server 2003 e consente una scalata di privilegi e un seguente controllo del sistema. Il secondo, bollettino MS08-035, riguarda invece il servizio Active Directory che, se sottoposto a richieste LDAP malformate, potrebbe bloccare il sistema operativo in cui viene eseguito.
Meno gravi i bollettino MS08-036 (riguardanti il protocollo Pragmatic General Multicast) e MS08-032 (riguardanti i soliti controlli AcriveX). Come al solito Microsoft ha anche aggiornato alcuni strumenti di sicurezza inclusi nei suoi software o installati automaticamente da Windows Update: lo strumento di rimozione malware (con 8 nuovi codici nocivi rilevati) e il filtro di posta indesiderata di Outlook e Windows Mail.
