Megaportal.it

Nel corso del giorno delle patch, Microsoft ha rilasciato, per il mese di Giugno, sei aggiornamenti che vanno a risolvere complessivamente 15 falle di sicurezza, 12 delle quali considerate critiche.

MS07-030 Questa patch di sicurezza risolve alcune vulnerabilità scoperte nei software Visio 2002 e Visio 2003 che possono esporre l’utente a rischi di esecuzione di codice nocivo. Il problema non riguarda la versione 2007 del prodotto. La vulnerabilità è stata classificata come importante.

MS07-031 L’aggiornamento consente di risolvere una pericolosa vulnerabilità di sicurezza presente in tutte le versioni di Windows tranne che in Vista. I rischi maggiori riguardano gli utenti di Windows XP (comprese le versioni a 64 bit del sistema oprativo) mentre per chi utilizza Windows Server 2003 e Windows 2000 SP4 i pericoli sono più moderati.
La vulnerabilità di sicurezza riguarda il pacchetto Secure Channel di Windows che implementa i protocolli di autenticazione standard Secure Sockets Layer (SSL) e Transport Layer Security (TLS). Qualora l’utente dovesse collegarsi con una pagina web espressamente studiata per sfruttare la lacuna di sicurezza, potrebbe vedere eseguito – a propria insaputa – sul sistema in uso, codice dannoso. Sui sistemi Windows Server 2003 e Windows 2000 il problema dovrebbe ridursi ad un crash del browser o del sistema. Patch critica.

MS07-032 Questo aggiornamento di sicurezza risolve invece una vulnerabilità messa a nudo su sistemi Windows Vista che potrebbe consentire ad un utente, dotato di privilegi ridotti, di acquisire diritti amministrativi che gli consentano di impossessarsi di password ed informazioni sensibili. Patch classificata come di importanza moderata.

MS07-033 I problemi che questa patch consente di sistemare sono invece estremamente critici e riguardano il browser Internet Explorer nelle versioni 5.01, 6.0 e 7.0. Le falle risolte sono cinque e riguardano anche la versione di Internet Explorer integrata in Windows Vista. Tutte le vulnerabilità possono avere come spiacevole conseguenza l’esecuzione di codice da remoto semplicemente visitando una pagina web maligna, opportunamente progettata per far danni. In tutti i casi, chi fa uso di account dotati di privilegi ridotti, subirebbe danni molto più limitati. Una vulnerabilità, invece, può facilitare attività di spoofing (una pagina web appositamente congeniata, per far credere all’utente di star visitando il sito desiderato quando, in realtà, sta navigando all’interno di pagine web pericolose). Patch indicata come critica.

MS07-034 L’aggiornamento di sicurezza riguarda Outlook Express e Windows Mail, il client di posta elettronica che Microsoft ha inserito in Windows Vista. L’applicazione di questa patch interessa gli utenti di tutte le versioni di Windows tranne coloro che utilizzano Windows 2000 SP4.
Le vulnerabilità complessivamente risolte sono, in questo caso, quattro e consentono di mettersi al riparo dai rischi derivanti dall’apertura di messaggi di posta contenenti codice nocivo. Patch "critica"

MS07-035 L’ultimo degli aggiornamenti di sicurezza rilasciati questo mese interessa tutte le versioni di Windows, fatta eccezione per Vista.
La vulnerabilità riguarda le API Win32 del sistema operativo e potrebbe consentire ad un malintenzionato di eseguire, da remoto, codice nocivo qualora l’API risultasse in uso da parte dell’applicazione utilizzata per far leva sul problema di sicurezza. Patch critica.
Microsoft ha rilasciato anche un nuovo aggiornamento per il suo "Strumento di rimozione malware" (download)

—
Bollettino ufficiale:

Bulletin Information
====================

The security bulletins for this month are as follows, in order of
severity:

Critical Security Bulletins
===========================

MS07-031 – Vulnerability in the Windows Schannel Security Package
Could Allow Remote Code Execution (935840)

– Affected Software:
– Microsoft Windows 2000 Service Pack 4
– Windows XP Service Pack 2
– Windows XP Professional x64 Edition
– Windows XP Professional x64 Edition Service Pack 2
– Windows Server 2003 Service Pack 1
– Windows Server 2003 Service Pack 2
– Windows Server 2003 with SP1 for Itanium-based Systems
– Windows Server 2003 with SP2 for Itanium-based Systems
– Windows Server 2003 x64 Edition
– Windows Server 2003 x64 Edition Service Pack 2

– Impact: Remote Code Execution
– Version Number: 1.0

MS07-033 – Cumulative Security Update for Internet Explorer (933566)

– Affected Software:
– Microsoft Windows 2000 Service Pack 4
– Windows XP Service Pack 2
– Windows XP Professional x64 Edition
– Windows XP Professional x64 Edition Service Pack 2
– Windows Server 2003 Service Pack 1
– Windows Server 2003 Service Pack 2
– Windows Server 2003 with SP1 for Itanium-based Systems
– Windows Server 2003 with SP2 for Itanium-based Systems
– Windows Server 2003 x64 Edition
– Windows Server 2003 x64 Edition Service Pack 2
– Windows Vista
– Windows Vista x64 Edition

– Impact: Remote Code Execution
– Version Number: 1.0

MS07-034 – Cumulative Security Update for Outlook Express and
Windows Mail (929123)

– Affected Software:
– Windows XP Service Pack 2
– Windows XP Professional x64 Edition
– Windows XP Professional x64 Edition Service Pack 2
– Windows Server 2003 Service Pack 1
– Windows Server 2003 Service Pack 2
– Windows Server 2003 with SP1 for Itanium-based Systems
– Windows Server 2003 with SP2 for Itanium-based Systems
– Windows Server 2003 x64 Edition
– Windows Server 2003 x64 Edition Service Pack 2
– Windows Vista
– Windows Vista x64 Edition

– Impact: Remote Code Execution
– Version Number: 1.0

MS07-035 – Vulnerability in Win32 API Could Allow Remote Code
Execution (935839)

– Affected Software:
– Microsoft Windows 2000 Service Pack 4
– Windows XP Service Pack 2
– Windows XP Professional x64 Edition
– Windows XP Professional x64 Edition Service Pack 2
– Windows Server 2003 Service Pack 1
– Windows Server 2003 Service Pack 2
– Windows Server 2003 with SP1 for Itanium-based Systems
– Windows Server 2003 with SP2 for Itanium-based Systems
– Windows Server 2003 x64 Edition
– Windows Server 2003 x64 Edition Service Pack 2

– Impact: Remote Code Execution
– Version Number: 1.0

Important Security Bulletins
============================

MS07-030 – Vulnerabilities in Microsoft Visio Could Allow Remote
Code Execution (927051)

– Affected Software:
– Microsoft Visio 2002 Service Pack 2
– Microsoft Visio 2003 Service Pack 2

– Impact: Remote Code Execution
– Version Number: 1.0

Moderate Security Bulletins
===========================

MS07-032 – Vulnerability in Windows Vista Could Allow Information
Disclosure (931213)

– Affected Software:
– Windows Vista
– Windows Vista x64 Edition

– Impact: Information Disclosure
– Version Number: 1.0

Other Information
=================

Microsoft Windows Malicious Software Removal Tool:
==================================================
Microsoft has released an updated version of the Microsoft Windows Malicious Software Removal Tool on Windows Update, Microsoft Update, Windows Server Update Services, and the Download Center.

Note that this tool is not distributed using Software Update Services (SUS).

Non-Security, High-Priority Updates on MU, WU, WSUS and SUS:
============================================================
For this month:

* Microsoft has released seven non-security,
high-priority updates on Microsoft Update (MU) and
Windows Server Update Services (WSUS).

* Microsoft has not released any non-security,
high-priority updates for Windows on Windows Update (WU) and
Software Update Services (SUS).