Seguendo il suo consueto ciclo mensile dei rilasci, la scorsa notte Microsoft ha pubblicato sei bollettini di sicurezza che, nel complesso, correggono 15 vulnerabilità in Windows, Windows Server e Office.
Una delle falle considerate più urgenti, sia in ambito client che server, è quella risolta dal bollettino MS09-065. I bug risolti dalla patch sono tre, tutti contenuti nel kernel di Windows e tutti potenzialmente sfruttabili da un aggressore per eseguire del codice a sua scelta in modalità remota.
Delle tre, la vulnerabilità più pericolosa è legata alla gestione dei font Embedded OpenType (EOT): un malintenzionato potrebbe far leva su questa debolezza allestendo una pagina web che, una volta aperta dall'utente, innesca l'esecuzione di codice maligno. A rendere particolarmente insidiosa questa vulnerabilità è il fatto che il font malformato potrebbe essere iniettato da un aggressore anche in siti che, pur non essendo direttamente sotto il suo controllo, ospitano contenuti uploadati dagli utenti. Oltre a ciò, i dettagli della falla sono di pubblico dominio ormai da settimane. Il problema interessa tutte le versioni ancora supportate di Windows ad eccezione delle due più recenti: Windows 7 e Windows Server 2008 R2.