Tra colleghi abituati a lavorare (ben) oltre l'orario di lavoro, quando uno di noi esce (peraltro legittimamente ...) alle 18.01 ci si diverte ad apostrofarlo con la frase: "... fai mezza giornata oggi ???". Ecco, l'emissione di questo mese, con soli 2 bollettini, mi sta dando la simile impressione di "mezza giornata" ... :-)... Ho incredibilmente finito l'analisi, le tabelle di rischio, la preparazione delle notifiche di sicurezza e il post, durante il normale orario di lavoro: se pensate che di solito il fatidico 2° martedì del mese riprendo questa attività dopo cena e lo termino all'una/due di notte... capirete la sensazione di leggerezza che sto provando!

Lo sguardo di insieme è presto fatto: entrambe le patch vanno messe subito.

• MS07-061 su Windows: è la patch attesa della vulnerabilità critica nella gestion degli URI che interessa sistemi Windows XP/2003 in presenza di Internet Explorer 7, segnalata da un security advisory di cui vi ho già detto e già sfruttata per attacchi, anche se limitati (in particolare tramite PDF), i quali permetterebbero l'esecuzione di codice non autorizzato da remoto nel contesto di sicurezza dell'utente loggato.
• MS07-062 su Windows DNS: la singola vulnerabilità importante interessa solo i sistemi operativi server Windows 2000 e Windows Server 2003. Anch'essa, alla luce dell'effetto della vulnerabilità che permetterebbe di alterare ad arte le risposte DNS e quindi di dirottare le richieste web su siti diversi da quelli legittimi (Spoofing), è sicuramente urgente per server DNS esposti su Internet, anche in considerazione dell'assenza di effetti in grado di mitigare il rischio e di metodologie di difesa alternative all'aggiornamento.

La consueta matrice di rischio delle vulnerabilità è disponibile di seguito:

Ho anche aggiornato il mini-portale tematico che raccoglie le risorse sui Security Bulletin.

Ci tengo comunque a ribadire l'importante evidenza dell'assenza di Windows Vista tra i sistemi interessati dalle vulnerabilità di questo mese: per il 1° compleanno che si avvicina, questo è un ulteriore contributo per il miglioramento delle statistiche di confronto a cui il buon Jeff Jones ci ha abituato.