Dopo aver distribuito l’ennesima “collezione” di patch, in tutto 17 per correggere ben 26 vulnerabilità sui vari Windows e su Office, Microsoft si sbottona e dichiara quanto sia positivo il trend che vuole in forte ribasso il numero di bollettini di sicurezza distribuiti per correggere le falle dei propri software: Windows 2000 riceve infatti 9 aggiornamenti, a Windows 7 ne toccano 4 o 5 (perché mai poi 4 o 5? Non sanno neanche loro quanti siano effettivamente?!?) ed Office 2007 ne riceve addirittura zero. Personalmente mi fa sorridere che uno stato di cose che dovrebbe essere normale o quasi per un prodotto commerciale venga salutato come una condizione di trionfo ed addirittura eccezionale!

Divertente poi il commento al fatto che Microsoft, dopo “soli” 17 anni ha corretto una vulnerabilità che ha fatto molto scalpore e di cui molti siti e riviste di settore hanno discusso nelle scorse settimane e che riguardava la virtual machine DOS usata per eseguire alcuni vecchi programmi a 16 bit in modalità compatibile e che poteva essere utilizzata per eseguire codice arbitrario e prendere il controllo del sistema… che dire? Celeri!

Se non fosse che parliamo della multinazionale che domina il mercato mondiale dei software operativi per PC, ci sarebbe da fare i complimenti a Microsoft…

Di lui conosciamo solo le iniziali: A.G. e sappiamo che dovebbe avere 28 anni. Oltre a questo sappiamo che potrebbe essere il protagonista del più grande furto di identità telematica mai avvenuto. Siamo a Miami, in Florida e l’hacker in questione avrebbe sottatto i dati di qualcosa come 130 milioni di carte di credito ad ignari utenti, violando la rete di alcuni istituti finanziari e di una nota catena di grandi magazzini americana.

Ci sarebbero inoltre due complici, ancora non identificati dalle autorità.

La frode sarebbe iniziata nel 2006 ed avrebbe coinvolto la Heartland Payment Systems, una compagnia del New Jersey che si occupa proprio dell’autorizzazione dei pagamenti elettronici con carta di credito e la catena di drug-store “7-Eleven”, oltre che una catena di supermercati dello stato del Maine.

Pare proprio di si, visto che il 12 agosto Microsoft rilascerà ben 12 patch, di cui almeno 7 sono ritenute di primaria importanza perché vanno a risolvere una serie di vulnerabilità che sembrano avere il massimo grado di pericolosità, secondo i tecnici di Redmond.

Andiamo a vedere velocemente le 7 patch più importanti, dicendo che riguardano Windows, Internet Explorer, Windows Media Player, Access, Excel e PowerPoint.

La patch più urgente da scaricare sarebbe quella per Access (applicazione per la realizzazione e la gestione di database, parte del pacchetto Office), poiché si è già riscontrato un exploit pubblico che potrebbe trasformarsi in un attacco di massa.

La ulteriori 5 patch a minor livello di importanza invece, riguardano Windows, Outlook Express e Windows Mail, windows Messenger e Word.

Come sempre, questi aggiornamenti saranno scaricabili tramite Windows Update, ma Microsoft ha annunciato che metterà a disposizione degli utenti anche dei singoli pacchetti per effettuare il download e l’installazione manuale delle singole patch.

Adobe ha comunicato che l’attuale versione del Flash player presenta una serie di gravi vulnerabilità a causa delle quali è opportuno aggiornare quanto prima la propria versione del lettore.
Tutto è chiaramente specificato nel bollettino di sicurezza APSB08-11.

Adobe spiega nel proprio advisory che le falle più gravi possono essere innescate da un file SWF creato ad hoc: quando aperto con una versione vulnerabile di Flash Player, tale file può eseguire del codice maligno con gli stessi privilegi dell’utente locale.
L’update risolve anche una debolezza che, nel recente passato, è stata sfruttata dai cracker per lanciare attacchi di cross-site scripting e infettare migliaia di siti web.

Il suggerimento è quindi di aggiornare il lettore alla versione 9.0.124.0 già disponibile e priva di vulnerabilità.