Questa settimana sono previsti vari aggiornamenti per importanti piattaforme, sia Microsoft che Adobe. La casa di Redmond ha pianificato 5 bollettini di sicurezza, che vanno a coprire falle ritenute critiche soprattutto per varie versioni di Internet Explorer (dalla 6.0 fino alla 11).
Un'altra patch critica riguarda Microsoft DirectShow, che va a tappare la possibilità di esecuzione di codice remoto da parte di qualche malintenzionato. I tre rimanenti bollettini sono marcati come "importanti" e mettono mano a Silverlight, Security Account Manager Remote e una possibile elevazione di privilegi sotto alla modalità Kernel-Mode Driver di Windows.
Il periodico cerotto di Microsoft ci dà sempre da pensare quando serve a render sicura l'apertura delle immagini...
Da segnalare il fatto che una delle falle tappate veniva sfruttata utilizzando immagini salvate in formato JPG nelle quali veniva nascosto del codice malevolo, ma dopo questo aggiornamento potremo aprire di nuovo le foto in tutta sicurezza (sic).
Segnaliamo come a tutt'ora non sia chiaro se Microsoft abbia effettivamente messo mano alla falla zero-day CVE-2014-0322 per Internet Explorer, in quanto non è specificata nel bollettino riguardante le patch per IE. Nel dubbio potete disabilitare Flash sul vostro browser, aggiornare ad IE 11.0 (che non è soggetto a tale bug) oppure usare il tool di Microsoft Fix It, pubblicato nell'avviso 2934088.
Ancora una volta ricordiamo che questo è il penultimo "giro" di aggiornamenti per Windows XP, il cui supporto scadrà con gli aggiornamenti di Aprile. Oltre a Microsoft, anche Adobe ha rilasciato alcuni importanti aggiornamenti per le sue piattaforme, in particolare per Flash Player, versione 12.0.0.70 e precedenti per Windows ed Apple, 11.2.202.341 per Linux.
La nuova versione 12.0.0.77 va a coprire due bollettini:
-CVE-2014-0503, segnalata dal ricercatore "Masato Kinugawa" che permette ad hacker di bypassare l'origine dei contenuti mostrata sul browser, in modo tale da poter creare attacchi cross-site da un altro dominio.
-CVE-2014-0504, riportato da Jordan Milne, per una falla riguardante la Clipboard di Flash Player, potenzialmente in grado di permettere a dei malintenzionati di inserirvi URL malevoli da remoto.
Le vulnerabilità sono state bollate da Adobe come "priorità 2" affermando che "Questo aggiornamento risolve vulnerabilità in un prodotto che storicamente ha sempre avuto rischi elevati. Ora come ora non esistono altri exploit conosciuti".
Microsoft nel nostro paese dovrebbe aver rilasciato gli aggiornamenti descritti su Update nella giornata odierna, mentre per Adobe, nel caso non aveste lasciato abilitate le notifiche, potete procurarvi l'ultima versione qui.