Microsoft ci va piano quest'anno e ha pubblicato solo quattro bollettini di sicurezza questa sera. Nessuna delle vulnerabilità di sicurezza chiuse con questi bollettini è considerata critica, tutti gli aggiornamenti sono stati classificati come importanti. Tra le altre cose, sono stati corretti gli errori di programmazione nei prodotti Office e nel kernel di Windows.
Nel primo giorno di patch del 2014, Microsoft ha chiuso un totale di sei vulnerabilità di sicurezza nel suo portafoglio software. Tre vulnerabilità sono state scoperte in MS Word e altri componenti di Office e devono essere eliminate con il bollettino di sicurezza MS14-001.
I prodotti vulnerabili includono in particolare le versioni 2003, 2007 2013 e 2013 RT di Word. Tuttavia, secondo Microsoft, anche i servizi di Office e le applicazioni web (apps) che girano sotto SharePoint Server 2010 e 2013 o su Microsoft Web Apps Server 2013 sono vulnerabili.
Le vulnerabilità entrano in gioco quando un utente apre un file manipolato in modo corrispondente. Nel caso peggiore, un aggressore può assicurarsi i diritti dell'utente connesso ed eseguire codice dall'esterno della rete sul sistema compromesso (remote code execution).
Due degli aggiornamenti di sicurezza recentemente forniti sono destinati a prevenire che un utente connesso localmente elevi i suoi diritti utente (elevazione dei privilegi):
Con il bollettino di sicurezza MS14-002, Microsoft ripulisce una falla nel kernel di Windows XP e Windows Server 2003. Per sfruttare la vulnerabilità, un attaccante deve essere loggato localmente e passare un contenuto speciale al driver NDProxy.sys, che richiede un'applicazione su misura.
Una vulnerabilità simile si trova anche nei driver in modalità kernel di Windows 7 e Server 2008 R2. Secondo Microsoft, ci sono problemi con la gestione degli oggetti in questo caso; l'aggiornamento MS14-003 garantisce una corretta elaborazione.
L'ultima vulnerabilità del gennaio 2014 colpisce Microsoft Dynamics AX, una soluzione per la pianificazione delle risorse aziendali (ERP). Permette a un aggressore autenticato di paralizzare l'intero sistema ERP (Denial of Service, DoS) inviando dati appositamente elaborati a un'istanza AOS (Application Object Server) vulnerabile.
Suscettibili a tali attacchi sono Microsoft Dynamics AX 4.0 e le versioni più recenti Microsoft Dynamics AX 2009, 2012 e 2012 R2. Anche se non si conoscono altre soluzioni al problema, Microsoft assegna una priorità abbastanza bassa alla patch MS14-004.