Microsoft ha chiuso il 2011 rilasciando a sorpresa la 100esima patch dell’anno, indirizzata a quattro vulnerabilità insite nel .NET Framework. L’aggiornamento, rilasciato il 29 dicembre 2011 (con una update il giorno 30) ed etichettato come “critico“, comporta la correzione di importanti falle a livello di sicurezza; se ne consiglia quindi l’immediata installazione.
Secondo il Microsoft Security Bulletin MS11-100, il correttivo risolverebbe una vulnerabilità già resa pubblica e tre notificate al gruppo per via privata, tutte e quattro correlate al Microsoft .NET Framework. «La più severa di queste vulnerabilità potrebbe permettere a malintenzionati non autorizzati la scalata dei privilegi, grazie all’invio ad un sito target di una web request appositamente confezionata».
Un attacco andato a buon fine offrirebbe quindi ad un utente malintenzionato la possibilità di compiere qualsiasi azione nel contesto di un account presente all’interno di un sito ASP.NET, inclusa l’esecuzione di comandi arbitrari.
L’aggiornamento coinvolge senza distinzione i pacchetti Microsoft .NET Framework dalla versione 1.1 Service Pack 1 alla edizione 4, presenti all’interno di tutte le edizione del sistema operativo Microsoft ancora supportate, da Windows XP SP3 fino a Windows 7.
Microsoft chiude quindi il vecchio anno con una collezione di ben 100 patch, l’ultima delle quali rilasciata in anticipo rispetto alle scadenze abituali, chiaro segnale di un impegno ad alto livello sul piano della sicurezza. Per il 2012, il primo bollettino di sicurezza è previsto per il 10 gennaio.