Microsoft ha pubblicato nove bollettini di sicurezza per il primo patchday di gennaio 2016, a quanto pare in origine dovevano essere dieci. Dietro sei voci nel database degli aggiornamenti ci sono aggiornamenti critici, per esempio per i browser dell'azienda e Microsoft Office.
Come al solito, Microsoft dedica un bollettino di sicurezza separato a Internet Explorer (IE) e al browser Edge introdotto con Windows 10. Entrambi i visualizzatori Internet possono essere sfruttati da un attaccante remoto per eseguire codice su sistemi vulnerabili (esecuzione di codice in remoto, RCE). Per fare questo, la vittima deve visitare un sito web manipolato o personalizzato, ad esempio cliccando su un link inviato via e-mail o chat.
Microsoft Edge ha un problema generale di elaborazione degli oggetti in memoria, l'aggiornamento MS16-002 fornisce un rimedio. Internet Explorer, nel frattempo, ha solo problemi con gli oggetti di memoria basati su VBScript. Il bollettino di sicurezza MS16-001 corregge questo bug e funziona anche sulle politiche cross-domain.
Il pacchetto di aggiornamento è fornito per tutte le versioni del browser, che quindi termina il supporto per alcune varianti di IE. In futuro, gli utenti riceveranno solo aggiornamenti per i browser più recenti, a seconda del sistema operativo che stanno utilizzando: gli utenti di Windows Vista dovrebbero aggiornare a IE 9, sotto Windows 7 e 8.1 è necessario un aggiornamento a IE 11.
Altre vulnerabilità RCE sono state trovate nel motore di scripting per VBScript e JScript. Solo le versioni 5.7 e 5.8 sotto Windows Vista, Windows Server 2008 e le installazioni server core di Windows Server 2008 R2 sono interessate. In questo caso, gli oggetti in memoria sono anche elaborati in modo non corretto; la patch MS16-003 ha lo scopo di risolvere questo problema.
Versioni Windows e Mac di Office minacciate
Gli utenti di Office possono anche cadere vittima di una violazione della memoria, minacciando di nuovo l'esecuzione di codice remoto nel caso peggiore. Oltre a Office 2007, 2010, 2013 e 2016, anche i componenti Office 2011 e 2016 per computer Mac sono a rischio per la vulnerabilità critica. Oltre alle suite generali di Office, Excel in particolare sta lottando con gravi problemi di memoria.
L'aggiornamento MS16-004 non è solo destinato a risolvere queste vulnerabilità RCE, tuttavia, ma anche a bypassare la funzione di sicurezza ASLR (Address Space Layout Randomisation). Un bypass di sicurezza corrispondente si dice che colpisca tutti i componenti di Office menzionati, così come Sharepoint Server e Foundation 2013 e il runtime VisualBasic 6.0.
Il bollettino di sicurezza MS16-005 è in fase di roll out per tutti i sistemi operativi client e server ancora supportati da Microsoft. Corregge le vulnerabilità di memoria nel driver in modalità kernel che possono essere sfruttate quando si visitano siti internet compromessi. L'aggiornamento è considerato critico solo nel caso di Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.
L'ultima patch, che chiude un grave gateway RCE nel gennaio 2016, si nasconde dietro l'identificatore MS16-006. In questo caso, il plug-in multimediale Silverlight 5 e il corrispondente ambiente runtime sono aggiornati. Senza l'aggiornamento, il plug-in del browser fornisce risultati errati quando convalida i risultati del decoder.
Tre altri aggiornamenti hanno ricevuto solo la valutazione "Importante" da Microsoft. La prima è la patch MS16-007, che affronta vulnerabilità RCE meno gravi in Windows e DirectShow. L'aggiornamento MS16-008 impedisce a un utente di elevare i propri privilegi utilizzando un'applicazione personalizzata (Privilege Escalation). Il bollettino di sicurezza Microsoft MS16-010 è fornito per Microsoft Exchange Server. Richieste difettose nel contesto delle sessioni OWA possono cioè promuovere attacchi di iniezione e spoofing.