Oggi sono stati rilasciati sette aggiornamenti, uno Critico e sei Importanti, e due Security Advisory. Prima di entrare nei dettagli dei bollettini, andremo a vedere di cosa trattano i due security advisory.

Security Advisory 2661254

Abbiamo cominciato a parlare di questo security advisory lo scorso Giugno, e ne abbiamo rilasciato la prima versione ad Agosto. Da oggi, l'aggiornamento descritto nel security advisory sarà disponibile non solo tramite il Download Center ma anche attraverso Windows Update. Questo è il nostro ultimo passo per quanto riguarda il requisito di avere certificati con chiave RSA di almeno 1024 bit.

Security Advisory 2749655

Questo aggiornamento risolve un potenziale problema di compatibilità relativo al timestamp di alcuni file che scadrebbe prima del dovuto. L'advisory migliorerà il profilo di sicurezza dei sistemi, piuttosto che risolvere il problema in un prodotto specifico. Sebbene non ci sia stato nessun certificato compromesso, se questo problema non fosse risolto, si potrebbe essere impossibilitati ad installare aggiornamenti, inclusi quelli di sicurezza. Dustin Ingalls e Jonathan Ness discutono di questa problematica in maggior dettaglio nell'SRD blog. Questo aggiornamento è disponibile tramite Automatic Updates,  Download Center e Windows Update Catalog.

Aggiornamenti di sicurezza

Come detto, oggi sono stati rilasciati sette aggiornamenti che correggono 20 vulnerabilità in Microsoft Windows, SQL Server e Microsoft Office (SharePoint, Lync, Microsoft Works - il cui supporto termina questa settimana, e InfoPath). Come ogni mese, suggeriamo di installare gli aggiornamenti il prima possibile. Nel caso in cui sia necessaria una prioritizzazione, suggeriamo di cominciare con MS12-064:

MS12-064 Microsoft Word: Questo aggiornamento risolve due vulnerabilità in Microsoft Office. E' un aggiornamento Critico e le vulnerabilità risolte, se sfruttate, permettono l'esecuzione di codice arbitrario da remoto. Solo una delle due vulnerabilità è Critica, ed è relativa ai file Rich Text Format (RTF).

Un altro bollettino da menzionare è MS12-067, che risolve la vulnerabilità descritta nel Security Advisory 2737111. Nonostante la vulnerabilità sia pubblica, non abbiamo rilevato nessun attacco.

Come ogni mese, proponiamo la nostra tabella relativa alla priorità degli aggiornamenti:

Mentre la seguente è la tabella con l'aggregato di rischio ed Exploitability Index:

Gerardo Di Giacomo
Security Program Manager - MSRC