Ciao a tutti! Oggi sono stati rilasciati nove aggiornamenti, tre Critici e sei Importanti, che correggono 16 vulnerabilità in Microsoft Windows, Internet Explorer, Visual Basic for Applications e Microsoft Office. Inoltre sono stati rilasciati due security advisory. Prima di entrare nel dettaglio con gli aggiornamenti mensili, andremo ad analizzare i due advisory.

Security Advisory 2719662

L'aggiornamento documentato in questo security advisory permette agli amministratori di disabilitare la Windows Sidebar e i Gadget su Windows Vista e 7 tramite un pacchetto Fix It. Come molti di voi sapranno, Windows 8 non supporterà queste due feature, e gli sviluppatori stanno già spostando la loro attenzione sul Windows Store. Nel frattempo, abbiamo scoperto che alcuni gadget per Vista e 7 non seguono le security best practice. Abbiamo, quindi, deciso di rimuovere il supporto alla Windows Gadget Gallery a partire da oggi, e di fornire un pacchetto Fix It per disabilitare i Gadget.

Security Advisory 2728973

Come annunciato il mese scorso, stiamo preparando un aggiornamento defense-in-depth che cambia il modo in cui Windows gestisce certificati con una chiave RSA minore di 1024 bit. Una volta rilasciato questo aggiornamento, tutti i certificati aventi una chiave con queste caratteristiche saranno considerati non validi, anche se firmati da una certificate authority riconosciuta. Maggiori informazioni sono disponibili nel blog post del mese scorso pubblicato dal Public Key Infrastructure (PKI) team.

Nel frattempo, durante un ciclo di audit interno dei certificati, ne abbiamo identificati alcuni che non rispettano i nostri standard di sicurezza. Sebbene non abbiamo evidenze che questi certificati siano stati compromessi o utilizzati abusivamente, li abbiamo comunque revocati per precauzione. Parte di essi sarebbero potuti essere usati per firmare codice, e sono stati piazzati nell'Untrusted Certificate Store. Per maggiori informazioni, fare riferimento al Security Advisory 2728973. Infine, incoraggiamo nuovamente gli utenti ad installare l'aggiornamento KB2677070), che fornisce un sistema automatico per aggiornare la Disallowed Certificate Trust List su Windows Vista e Windows 7. Questo sistema è stato rilasciato il mese scorso, e oggi viene rilasciato nuovamente come aggiornamento non opzionale.

Aggiornamenti di sicurezza
Come detto in precedenza, oggi vengono anche rilasciati 9 aggiornamenti, tre Critici e sei Importanti, che correggono 16 vulnerabilità in vari prodotti Microsoft, tra cui Windows e Internet Explorer. Per gli utenti che devono programmare l'installazione degli aggiornamenti, questi tre meritano un'attenzione particolare:

  • MS12-043 - Microsoft XML Core Services: Questo aggiornamento risolve una vulnerabilità Critica, che se sfruttata permetterebbe l'esecuzioen di codice da remoto. Questo aggiornamento risolve la vulnerabilità in Windows discussa il mese scorso nel Security Advisory 2719615.
  • MS12-045 - Microsoft Data Access Components [MDAC]: Questo aggiornamento risolve una vulnerabilità Critica in Windows, che se sfruttata permetterebbe l'esecuzione di codice da remoto. Questa vulnerabilità è stata riportata privatamente, e non sono stati rilevati attacchi. Ciò nonostante, consigliamo di rivedere il bollettino associato ed installare l'aggiornamento il prima possibile.
  • MS12-044 - Internet Explorer: Questo aggiornamento corregge due vulnerabilità Critiche in Internet Explorer. Anche in questo caso, le vulnerabilità sono state riportate privatamente e non ci sono evidenzedi attacchi.

Gli altri sei bollettini sono relativi a vulnerabilità Importanti in Windows, Visual Basic for Applications e Office (SharePoint e Office per Mac).

Di seguito la tabella con la lista completa delle priorità:

Mentre la seguente è la tabella con l'aggregato di rischio e Exploitability Index:

Nell'SRD blog sono stati pubblicati tre articoli con approfondamenti tecnici relativi agli aggiornamenti di questo mese:

Maggiori informazioni sui bollettini sono disponibili nella pagina di Riepilogo dei bollettini Microsoft sulla sicurezza di luglio.

Gerardo Di Giacomo
Security Program Manager - MSRC