Dopo il patch day dello scorso mese abbastanza leggero, Microsoft ha pubblicato la notifica avanzata dei suoi aggiornamenti periodici per il patch day di Martedì della prossima settimana (in tutto sette) che si concentra sui difetti e le caratteristiche di Office e dei di questi sono definiti "importanti". Un bollettino critico, invece, tapperà una vulnerabilità in Microsoft Office 2003, 2007 e 2010 così come Word Viewer e Microsoft Office Web Apps. Office per Mac non è interessato.
La designazione di vulnerabilità critica "non è molto comune per le vulnerabilità di Office e indica in genere che non è necessario l'intervento dell'utente, come l'apertura di un file infetto, per attivare la vulnerabilità", scrive Wolfgang Kandek, CTO della società di tool di sicurezza per aziende Qualys.
La vulnerabilità è di una tiplogia che potrebbe facilmente prestarsi ad attacchi malware, quindi si consiglia cautela, anche se nulla di male è stato segnalato ancora.
"Si consiglia di rimanere vigili per il bollettino e prepararsi a un rapido roll-out di questo aggiornamento", ha aggiunto Kandek.
Gli altri sei bollettini sono tutti di livello importante. Tre dei prossimi aggiornamenti influenzano componenti della famiglia Office (Works 9, InfoPath e SharePoint) mentre due di questi riguardano difetti di elevazione dei privilegi in Windows. Il bollettino finale riguarda un aggiornamento per tutte le versioni di MS-SQL Server, anche affrontando una vulnerabilità local-escalation di privilegi.
Il Patch Martedì nel mese di ottobre segue una corsa per fissare una vulnerabilità 0-day relativa a Java che colpisce tutte le versioni di Internet Explorer. Redmond ha affrontato il problema con una patch out-of-schedule cinque giorni dopo la sua prima apparizione in attacchi ed exploit.
Marcus Carey, ricercatore di sicurezza a Rapid7, ha commentato: "Dovrebbe essere un sollievo per molti che nessuno dei bollettini richiede immediata attenzione, perché nessuno delle vulnerabilità sono sfruttate in ambiente naturale; tutte le vulnerabilità sono state segnalate privatamente".
Questo significa che non ci sono codici exploit di pubblico dominio per il ciclo di bollettino di questo mese. Microsoft da ottobre non consentirà l'uso di certificati inferiori a 1024 bit, una misura introdotta come mezzo per rafforzare le carenze di sicurezza, e, in particolare, exploit dello strumento Flame di cyber-spionaggio. "Questo potrebbe comportare problemi per le società che hanno in produzione ancora i certificati esistenti. Questo fine settimana sarà l'ultimo fine settimana per ripulire i certificati precedenti", ha aggiunto.
Via: The Register
Nessun commento:
Posta un commento