Niente meno di dieci i correttivi che Microsoft ha pubblicato online, in questi giorni, nel quadro dei suoi aggiornamenti mensili di sicurezza (bollettini MS05-25 a MS05-34).
Sulla decina di vulnerabilità corrette, tre sono da considerare come “critiche” e quattro “importanti”, mentre le ultime tre presentando un rischio “moderato”. L’installazione dei correttivi è dunque fortemente consigliata, e il metodo più semplice per ottenerla è di sfruttare il servizio d’aggiornamento automatico Windows Update.
Quasi tutte le versioni dei sistemi operativi ancora supportate da Microsoft sono interessate da falle: Windows Server 2003 (SP3 e SP4) per piattaforme X86 (32 e 64 bit) e Itanium, Windows XP SP1 e SP2, Windows Me/98SE/98, così come alcuni componenti tipo Outlook Express (5.5 e 6) e applicazioni tra cui Exchange 5.5 SP4. Senza dimenticare una patch cumulativa (MS05-25) per Internet Explorer che viene a sostituire il precedente MS05-20.
Molte di queste vulnerabilità permetterebbero di lanciare del codice a distanza per prendere il controllo del computer infettato. Le tre falle critiche influiscono sulle applicazioni Internet Explorer, SMB (Server Message Block) e con il servizio HTML Help.
Le falle di sicurezza giudicate “importanti” influiscono sui servizi Outlook Web Access di Exchange Server 5.5, WebClient di Windows e il client Outlook Express.
Infine, i difetti considerati come “moderati” permettono il recupero di informazioni (per ISA Server 2000 e il client Telnet) o un usurpazione d’identità via Microsoft agent. Quest’ultimo richiede però la “complicità” involontaria della vittima, che dovrà andare su un sito Web esca per permettere lo sfruttamento della vulnerabilità.