Microsoft Patch Day: solo tre aggiornamenti per Windows, ma critici

Nessuna replica del consistente pacchetto di aggiornamenti rilasciato lo scorso mese: il “patch Tuesday” di marzo targato Microsoft, l’ultimo dell’inverno, giunto ieri, è stato decisamente meno invadente del solito. Soltanto tre i bollettini resi disponibili agli utenti dei suoi sistemi operativi dal colosso di Redmond attraverso il tradizionale canale di Windows Update. Pochi, ma di un certo rilievo: sono infatti state studiate rispettivamente per risolvere due problemi “critici” di sicurezza e una vulnerabilità “importante”, a causa del pericolo per la riservatezza e l’integrità dei dati degli utenti.

Il primo aggiornamento, dal nome in codice di MS11-015, riguarda due vulnerabilità individuate in Windows Media Player o Windows Media Center (per i sistemi operativi Windows XP, Vista e Seven, ma non per la versione Live), che permettono ai malware di eseguire codice dannoso all’apertura dei file in formato Microsoft Digital Video Recording (.dvr-ms).

Il secondo (MS11-016) è invece dedicato a Microsoft Groove 2007 SP2, il programma aziendale della suite Office che consente di condividere un’area di lavoro comune a diversi team (il vecchio SharePoint Workspace). Questo aggiornamento corregge un difetto di Excel che causerebbe problemi di sicurezza se combinato con il suddetto software.

Il terzo e più importante aggiornamento (MS11-017) riguarda invece una vulnerabilità che interessa il client Desktop remoto. Nel caso in cui si tentasse di aprire un file di configurazione (.rdp) memorizzato all’interno della rete locale insieme ad una libreria modificata da un malintenzionato, si rischierebbe infatti di eseguire codice dannoso in modalità remota. La falla riguarda la versione 5.2 di Desktop remoto per i sistemi operativi Windows XP SP3 e le versioni 6.0-6.1 per Windows XP SP3, Windows XP x64 SP2, Windows Server 2003 SP2, Windows Server 2003 x64 SP2, Windows Vista e Windows Server 2008.

La release 7.0 presenta invece questo problema su Windows XP SP3, Windows Vista, Windows 7 e Windows Server 2008 R2 x64 ed Itanium. Per verificare la versione del software in uso, basta accedere alla cartella “system32″ e selezionare “Proprietà” dal menu che compare cliccando con il tasto destro del mouse sul file “mstsc.exe”.

Nessun aggiornamento, invece, per quanto riguarda il bug di Internet Explorer nelle versioni 6, 7 e 8 su sistema operativo XP rilevato la scorsa settimana. Non avendo ancora causato problemi degni di nota, questa vulnerabilità sarà studiata con calma, insieme alle necessarie contromosse, da Microsoft nelle prossime settimane.

Nè il gruppo americano sembra essere troppo preoccupato da Pwn2Own, il contest annuale nel corso del quale gli hacker si dedicheranno ad assaltare i browser di tutto il mondo. A differenza di Google Chrome e Mozilla Firefox, infatti, non è prevista alcuna patch per Internet Explorer 8. Prosegue, invece, la campagna di dissuasione dall’utilizzo della vecchia versione di IE6, decisamente lacunoso in termini di sicurezza.

Insieme alle patch suddette, è stato presentato anche un nuovo aggiornamento per lo Strumento di rimozione malware di Microsoft, giunto alla versione 3.17. Tutti gli aggiornamenti resteranno scaricabili singolarmente per il mese di marzo anche dal Microsoft Downloader Center, qualora la funzione aggiornamento automatico non sia attiva. Il prossimo “patch Tuesday” è in programma martedì 12 aprile.