Redmond (USA) – Dopo il corposo elenco di patch rilasciate lo scorso aprile, questo mese Microsoft ha corretto solo un paio di bug non critici, fra cui uno riguardante un software che non viene sviluppato dal big di Redmond.
Il primo bollettino, l’ MS04-016 , descrive una falla presente in DirectPlay, una funzionalità delle librerie DirectX che, fra le altre cose, fornisce servizi per il gioco on-line e, in modo particolare, il multiplayer. Microsoft ha spiegato che la vulnerabilità potrebbe essere sfruttata da un aggressore per bloccare o mandare in crash, da remoto, le applicazioni che fanno uso di DirectPlay. Il problema interessa tutte le versioni supportate di Windows a 32 e 64 bit, escluso NT.
Il secondo bollettino, l’ MS04-017 , riguarda invece una vulnerabilità presente all’interno del Crystal Web viewer, un plug-in di terze parti che Microsoft ha incluso in alcuni suoi prodotti per consentire agli utenti di aprire i file generati con i noti applicativi Crystal Reports e Crystal Enterprise di Business Objects. Un aggressore che riesca a sfruttare con successo la falla potrebbe accedere a certe informazioni presenti sul sistema vulnerabile o lanciare attacchi di denial of service.
Microsoft ha precisato che il problema, che riguarda Visual Studio.NET 2003, Outlook 2003 con Business Contact Manager e Business Solutions CRM 1.2, si pone solo nel caso in cui sul sistema vi sia installato Internet Information Services.
“Anche se (Crystal Reports) non è stato scritto da Microsoft, è comunque di un software che Microsoft fornisce con i suoi prodotti: per tale motivo abbiamo deciso di correggere il problema”, ha dichiarato Stephen Toulouse, security program manager del big di Redmond.
Entrambe le falle sono state giudicate da Microsoft di rischio moderato.
Ti potrebbe interessare
10 giu 2004