Microsoft ha rilasciato aggiornamenti che vanno a correggere in tutto 62 vulnerabilità, di cui 23 di gravità critica, 32 di gravità importante e 33 relative l’esecuzione di codice da remoto (RCE).
Riguardo le vulnerabilità che colpiscono il prodotto Office, c’è ne’ una in particolare di cui è già stato eseguito l’exploit in-the-wild che permette ad un attaccante di prendere il controllo dell’account utente in uso e se di tipo amministrativo poter eseguire molteplici operazioni sui file e sul sistema, come ad esempio creare un altro utente con privilegi amministrativi.
Questa vulnerabilità colpisce tutte le versioni attualmente supportate di Office.
Un altra vulnerabilità corretta riguarda il servizio Windows Search, questa può esser sfruttata tramite SMB riuscendo successivamente a prendere pieno controllo del sistema. Anche per questa vulnerabilità è stato individuato un exploit in-the-wild, cosa che ne conferma la gravità.
Altre vulnerabilità riguardano:
- Windows Font Libray: CVE-2017-11762 e CVE-2017-11763 le quali se ne può eseguire l’exploit tramite dei file maligni creati ad hoc
- DNSAPI: CVE-2017-11779 vulnerabilità che permette ad un server DNS maligno di eseguire codice nel sistema
- TPM: ADV170012 vulnerabilità insita nel chip TPM e non in Windows che potrebbe permettere la creazione di chiavi crittografiche deboli. Per questa vulnerabilità c’è bisogno di un aggiornamento firmware, Microsoft ha rilasciato da parte sua un aggiornamento che mitica la vulnerabilità prevenendo la generazione di chiavi crittografiche deboli
- Altre vulnerabilità riguardo Microsoft Edge ed Internet Explorer, le quali possono permettere l’esecuzione di codice da remoto (RCE) nel contesto dell’utente corrente
Microsoft ha altre sì annunciato che il nuovo aggiornamento Windows 10 FALL Creators Update sarà rilasciato dal 17 ottobre prossimo; il gigante di Redmond ha inoltre pubblicato un aggiornamento volto a correggere la mancata criptazione delle email di Outlook nel caso venga usato lo standard S/MIME per l’invio delle stesse e il testo venga spedito in testo normale e NON in HTML.
Approfondimenti:
October Patch Tuesday: 28 Critical Microsoft Vulnerabilities