La release di Maggio 2013 prevede 10 aggiornamenti che correggono 33 vulnerabilità in diversi prodotti Microsoft.

Prima di entrare nel dettaglio della release di questo mese, vogliamo annunciare una novità che riguarda gli utenti enterprise. Da oggi è possibile identificare gli aggiornamenti di sicurezza all'interno di Security Advisory. I cambi permettono di:

  • Classificare in maniera più accurata gli aggiornamenti di sicurezza che non hanno una severity assegnata;
  • Classificare in maniera corretta gli aggiornamenti distribuiti tramite Security Advisory che non sono strettamente collegati ad una vunlerabilità ma che hanno implicazioni di sicurezza.

Per questi aggiornamenti è possibile che il valore nel campo "Severity" sia "Non Assegnato". C'è da ricordare inoltre che i cambiamenti sono relativi agli aggiornamenti rilasciati a partire da Maggio 2013 e non verrà effettuato nessun cambiamento agli aggiornamenti precedenti. Maggiori informaizoni sono disponibili a questa pagina.

Ma ora torniamo agli aggiornamenti di oggi. Come già detto, gli aggiornamenti di oggi sono dieci, due Critici ed otto Importanti, che correggono 33 vulnerabilità in Internet Explorer, Microsoft Windows, Microsoft Office, Server and Tools e .NET Framework. Suggeriamo di prioritizzare gli aggiornamenti MS13-037, MS13-038 e MS13-039.

MS13-037 - Cumulative Security Update for Internet Explorer (Critico)

Questo aggiornamento risolve 11 vulnerabilità in Internet Explorer che permettono l'esecuzione di codice da remoto se un utente visita una pagina web con contenuto malevolo. Questo aggiornamento è applicabile a tutte le versioni supportate di Internet Explorer. Tutte le vulnerabilità corrette sono state riportate privatamente e non sono stati rilevati attacchi che tentano di sfruttarle.

MS13-038 - Security Update for Internet Explorer (Critico)

Questo aggiornamento risolve la vulnerabilità di Internet Explorer 8 descritta nel Security Advisory 2847140. Come descritto nell'advisory, questa vulnerabilità è stata rilasciata pubblicamente e sono stati rilevati un numero limitato di attacchi. 

MS13-039 - Vulnerability in HTTP.sys Could Allow Denial of Service (Importante)

Questo aggiornamento risolve una vulnerabilità in Microsoft Windows che permette di effettuare un Denial of Service spedendo un pacchetto HTTP malevolo ad un servizio che utilizza questo protocollo. L'aggiornamento è applicabile a Windows 8 e Windows Server 2012. La vulnerabilità corretta è stata riportata privatamente e non sono stati rilevati attacchi che tentano di sfruttarla.

Suggeriamo, come sempre, di installare tutti gli aggiornamenti il prima possibile.

La seguente è la tabella che mostra le priorità di tutti gli aggiornamenti rilasciati questo mese:

Mentre la seguente è la tabella con l'aggregato di rischio ed Exploitability Index:

 

Ulteriori informazioni relative agli aggiornamenti di questo mese sono disponibili alla pagina Riepilogo dei bollettini Microsoft sulla sicurezza - maggio 2013.

Alla prossima!

Gerardo Di Giacomo
Security Program Manager - MSRC