Sono dieci i bollettini di sicurezza che Microsoft ha rilasciato nel periodico bollettino mensile di sicurezza. Gli aggiornamenti di ottobre, almeno sino alla tarda serata italiana di ieri, non possono però essere scaricati automaticamente dal servizio
Microsoft Update. L'azienda ha lamentato, senza precisare ulteriormente, «problemi di rete della piattaforma». Sono bloccati anche i servizi di aggiornamento automatico, i Windows Server Update Services (WSUS) e la versione 6 di Windows Update. Sono regolarmente attivi invece gli aggiornamenti ottenibili via
Office Update
I bollettini di sicurezza correggono ben 26 vulnerabilità di prodotti Windows e Office. Colpiti dagli errori ci sono in pratica tutti i sistemi operativi Microsoft e tutte le versioni di software per ufficio a partire dalla versione 2000. Colpiti Windows XP, Windows 2000 e Windows Server 2003; colpiti anche Excel, PowerPoint, Word, Access, FrontPage, Outlook, Publisher, Visio, Project e i recenti OneNote e InfoPath.
Alcuni degli errori contenuti nei bollettini si riferiscono anche alla suite di programmi per l'ufficio Works nelle versioni 2004, 2005 e 2006. Problemi anche per programmi di Office per la piattaforma Mac.
Gli errori contenuti nella maggioranza dei bollettini di sicurezza (sei) sono considerati di livello critico: permettono, cioè, di eseguire codice nocivo sul computer dell'utente in modalità remota. Un bollettino contiene errori "importanti", due contengono errori "moderati", mentre gli errori del rimanente bollettino sono considerati di bassa entità.
Il bollettino
MS06-057 copre una vulnerabilità critica rilevata in Internet Explorer alla fine di settembre e di cui sono già comparsi in rete diversi exploit in grado di sfruttare l'errore ed installare sui computer degli utenti programmi nocivi o affini. L'errore, un buffer overflow di uno dei molti controlli ActiveX di Internet Explorer (WebViewFolderIcon), è in grado di permettere l'installazione di programmi sul computer dell'utente semplicemente spingendo gli utenti a visualizzare un sito Web.
Quattro le diverse vulnerabilità di PowerPoint corrette nel bollettino
MS06-058. Sono vulnerabilità che consentirebbero, semplicemente facendo visualizzare all'utente un file in formato PowerPoint appositamente creato per sfruttare gli errori, di installare programmi nocivi e malware. Simili nella modalità di sfruttamento i quattro errori critici corretti nel foglio di calcolo Excel (versioni 2000, XP e 2003) dal bollettino
MS06-059 e gli altrettanti corretti nel programma di videoscrittura Word dal bollettino
MS06-060.
Le due vulnerabilità descritte nel bollettino
MS06-061 riguardano il componente MSXML, ossia la libreria che svolge in Windows le operazioni di gestione dei file XML. Nel caso più critico, un qualsiasi software che faccia uso dell libreria, Internet Explorer in primis ma anche programmi di Office, potrebbe essere portato all'errore e a permettere l'esecuzione di codice nocivo semplicemente visualizzando un foglio di stile XSLT associato ad un documento XML.
L'ultimo bollettino segnato come critico, il
MS06-062, corregge errori che riguardano l'intera piattaforma Office, nelle versioni 2000, XP e 2003 per Windows e nelle versioni 2004 e X per Mac. Gli errori corretti sono quattro e riguardano, anche in questo caso, una errata gestione dei dati contenuti nei file aperti con i vari programmi della suite.
