Microsoft ha rilasciato in occasione del Patch Day di settembre 9 differenti bollettini mirati a correggere 13 vulnerabilità insite in Windows e Office, tre delle quali etichettate come “critiche” mentre le restanti 5 sono giudicate “importanti”. Riflettori puntati sul bollettino MS10-061 che risolve una vulnerabilità critica nel servizio Print Spooler, già sfruttata dal malware Stuxnet.
L’errore nel servizio Print Spooler consente di prendere il controllo di un sistema che condivide le proprie stampanti in rete, semplicemente inviando una richiesta di stampa malformata. Particolarmente soggetti a rischio i computer con Windows XP, dove condividere una stampante significa automaticamente rendere le macchine vulnerabili al malware Stuxnet o ad altri attacchi mirati. Sotto Vista e Windows 7, i computer si mostrano vulnerabili solo al verificarsi di determinate condizioni: se tra le stampanti condivise compaiono alcuni vecchi modelli, se non è stata impostata una password per la condivisione e se l’utente sta utilizzando un account Guest.
Il bollettino MS10-062 riguarda invece una debolezza nel codec MPEG-4 presente in Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008, e che può essere sfruttato da un cracker per prendere il controllo di un computer nel quale venisse aperto un file AVI malformato, o visualizzati dati in streaming attraverso una pagina Web maligna.
Le restanti patch riguardano un errore nell’interpretazione dei font OpenType, un bug di Outlook nella gestione della posta, una vulnerabilità in Unicode Scripts Processor, nell’Internet Information Services (IIS) e nei convertitori di testo WordPad per quanto riguarda l’apertura dei documenti in formato DOC.
L’aggiornamento è possibile tramite il servizio automatico Microsoft Update.