Ciao a tutti. E' di nuovo il secondo martedì del mese e come da rituale oggi vengono rilasciati nuovi aggiornamenti di sicurezza.

Prima di entrare nello specifico con i bollettini, volevo ricordare che Windows XP e Office 2003 andranno ufficialmente fuori supporto tra due anni esatti, ad Aprile 2014. Per molte aziende, migrare ad una nuova major release è dispendioso in termini di tempo e risorse, ma allo stesso tempo apporta grandi benefici in termini di sicurezza. Windows 7, Windows Server 2008 R2 e Office 2010, infatti, introducono nuove tecnologie difensive che rendono i sistemi meno proni ad attacchi.

Passiamo ai bollettini. Gli utenti che utilizzano gli aggiornamenti automatici, probabilmente hanno già ricevuto le notifiche di aggiornamento e sono già protetti dalle vulnerabilità risolte con gli aggiornamenti di questo mese. Gli utenti che invece devono testare e programmare l'instsallazione gli aggiornamenti, troveranno di seguito informazioni utili su quali riteniamo siano gli aggiornamenti più importanti.

Oggi sono stati rilasciati sei aggiornamenti di sicurezza, quattro Critici e due Importanti, che risolvono un totale di 11 vulnerabilità. Gli aggiornamenti che suggeriamo di prioritizzare sono i seguenti:

MS12-027 - Windows Common Controls: Questo aggiornamento risolve una vulnerabilità nel controllo ActiveX MSCOMCTL.OCX, vulnerabilità che permette l'esecuzione di codice arbitrario da remoto se un utente visita un sito malevolo.

MS12-023 - Internet Explorer: Questo aggiornamento risolve cinque vulnerabilità in Internet Explorer, che permette ad un utente malintenzionato di sfruttare queste vulnerabilità per eseguire codice arbitrario, nel contesto dell'utente che visita un sito malevolo.

Come sempre incoraggiamo gli utenti ad installare gli aggiornamenti di sicurezza il prima possibile.

Di seguito la tabella che mostra i nostri suggerimenti sulla prioritizzazione degli aggiornamenti:

Exploitability Index

Mentre la seguente è la tabella che mostra l'aggregato di rischio ed Exploitability Index:

Deployment Priority

I dettagli di tutti gli aggiornamenti sono disponibili alla pagina Riepilogo dei bollettini Microsoft sulla sicurezza di Aprile 2012.

Jonathan Ness e Pete Voss terranno il consueto webcast Mercoledì, 11 Aprile alle ore 20:00 italiane. Per seguirlo, è necessario registrarsi seguendo le istruzioni su questa pagina.

Gli approndimenti tecnici di questo mese sono relativi ai bollettini MS12-025 e MS12-027. Il primo articolo, parla dell'aggiornamento di .NET Framework, che tra le altre risolve una vulnerabilità relativa alle applicazioni XBAP. MS11-044, rilasciato a Giugno 2011, introduce un ulteriore avviso quando si cerca di eseguire applicazioni di questo tipo, quindi questo vettore d'attacco è reso meno appetibile. Il secondo articolo, invece, è relativo a MS12-027, uno dei due aggiornamenti che suggeriamo di prioritizzare. L'articolo fa una panoramica su varie tematiche relative al controllo ActiveX vulnerabile, MSCOMCTL.OCX: come le recenti versioni di Office mitigano l'attacco, come disabilitare gli ActiveX in nei documenti Office e come utilizzare le funzionalità di °kill bit° in Office 2010.

Rinnovo l'invito a contattarmi se avete bisogno di ulteriori informazioni o avete domande relative agli aggiornamenti di questo mese, e a tutto il resto :)

Gerardo Di Giacomo
Security Program Manager - MSRC