Tre giorni fa Microsoft ha rilasciato uno dei suoi più massicci e importanti aggiornamenti di sicurezza del 2016, risolvendo 50 vulnerabilità nei suoi prodotti e 26 nel Flash Player, che ricordiamo essere integrato nel browser Edge. Le patch sono divise in 14 tranche, sette delle quali sono state classificate come “critiche”. Queste infatti vanno a risolvere vulnerabilità importanti in Windows, Internet Explorer, Edge, Exchange, Office e relativi servizi e applicazioni web.

Per l’installazione in ambiente desktop gli amministratori dovrebbero dare priorità assoluta ai fix per Internet Explorer (aggiornamento MS16-104), Microsoft Edge (MS16-105), Microsoft Office (MS16-107), Microsoft Graphics Component (MS16-106), OLE Automation for VBScript Scripting Engine (MS16-116) e Adobe Flash Player (MS16-117). Questo perché le vulnerabilità riscontrate possono essere sfruttate per eseguire codice remoto al fine di ingannare gli utenti facendoli andare su siti compromessi o facendogli aprire file infetti.

Una delle vulnerabilità in Edge e Internet Explorer (CVE-2016-3351) potrebbe essere utilizzata come rivelazione di informazioni in una catena di exploit. Microsoft fa notare a proposito come, benché questa vulnerabilità non sia stata rivelata pubblicamente, in realtà sia già stata sfruttata. La compagnia però non ha rilasciato ulteriori informazioni sugli attacchi che fanno leva su di essa.

Le patch di sicurezza sono divise in 14 tranche, sette delle quali sono state classificate come critiche

Anche l’aggiornamento per Silverlight (MS16-109) dovrebbe essere considerato prioritario nonostante Microsoft lo classifichi come importante e non come critico. La vulnerabilità infatti potrebbe condurre all’esecuzione di codice remoto se un utente visita un sito compromesso che contiene un’applicazione Silverlight contraffatta.

Sul versante server invece gli amministratori dovrebbero dare la priorità all’aggiornamento MS16-108 per Microsoft Exchange, che risolve vulnerabilità critiche nella Oracle Outside In Technology (OIT). Si tratta di una collezione di SDK che può essere utilizzata per estrarre, normalizzare, convertire e visualizzare formati di file non strutturati. I ricercatori del team Talos di Cisco avevano già trovato e riportato a inizio anno delle vulnerabilità in Oracle OIT; Oracle a luglio aveva già rilasciato delle patch apposite e ora Microsoft le ha importate in questo suo recente aggiornamento.

Anche l’aggiornamento di Office dovrebbe entrare nel radar degli amministratori, visto che riguarda Microsoft SharePoint Server 2007, 2010 e 2013 e che le vulnerabilità che va a risolvere potrebbero consentire ai cybercriminali di prendere il completo controllo dei server utilizzando il servizio di automazione di Word e di Excel. Infine i server admin non dovrebbero trascurare l’aggiornamento per Microsoft Graphics Component (MS16-106) per server Windows, che potrebbe permettere a chi esegue un attacco di creare una richiesta contraffatta facendo eseguire a Windows un codice arbitrario con permessi di alto livello.