Redmond (USA) – Questo mese Microsoft non rilascerà alcun aggiornamento di sicurezza. Il big di Redmond si è detto ancora impegnato a investigare su alcune recenti vulnerabilità, fra le quali vi sono molto probabilmente quelle riportate lo scorso mese dalla società di sicurezza Secunia .
“È una bella coincidenza, ma non ha alcuna relazione con il Natale”, ha commentato Iain Mulholland, security program manager di Microsoft. “Ci siamo impegnati a rilasciare il pacchetto mensile di aggiornamenti solo quando saremo pronti, quando avremo delle patch di qualità. Per il momento non abbiamo semplicemente nulla che, sotto il punto di vista qualitativo, possa essere rilasciato entro la fine di questo mese”.
Mulholland ha sottolineato come la propria azienda sia ora maggiormente focalizzata sulla qualità delle correzioni piuttosto che sulla tempistica. Nonostante questo, l’esperto di Microsoft ha affermato che in caso di “una minaccia reale e immediata” il proprio team è pronto ad intervenire, eventualmente rilasciando una patch temporanea.
Lo scorso ottobre Microsoft ha adottato per gli update di sicurezza un ciclo dei rilasci su base mensile , una strategia che ha principalmente lo scopo di semplificare la gestione degli aggiornamenti da parte degli utenti e degli amministratori di sistema: il più grande vantaggio, secondo il colosso, è che i clienti possono scaricare un solo pacchetto cumulativo (chiamato “rollup”) al posto delle singole patch.
L’ultimo pacchetto rollup è stato rilasciato la scorsa metà di novembre e, secondo i piani di rilascio di Microsoft, il prossimo sarebbe dovuto arrivare la seconda settimana di dicembre. Il nuovo rollup è invece slittato al 13 gennaio, data entro cui Microsoft prevede di aver ultimato lo sviluppo e il test delle nuove patch.
Nonostante le festività siano ormai alle porte, gli esperti di sicurezza non hanno abbassato la guardia. Negli scorsi giorni la società Core Security Technologies (CST) ha avvertito del fatto che una recente falla nel servizio Workstation di Windows 2000 e XP potrebbe essere sfruttata da worm simili al prolifico e devastante SQL Slammer .
Nonostante Microsoft abbia corretto la falla lo scorso mese, CST sostiene che “la vulnerabilità è persino più pericolosa e critica del previsto” e questo perché “le soluzioni al problema proposte da Microsoft nel suo bollettino non sono sufficienti a chiudere completamente la falla”. La società di sicurezza ha però dovuto ammettere che la patch è in grado di prevenire gli attacchi fino ad oggi conosciuti.
Update (ore 11,30): in apparente contraddizione con le affermazioni di ieri, nelle scorse ore Microsoft ha rilasciato una patch di sicurezza che corregge una vulnerabilità nelle estensioni di FrontPage annunciata in un bollettino dello scorso mese. Microsoft sta investigando su come e perché lo stesso aggiornamento sia stato rilasciato due volte.
Ti potrebbe interessare
11 dic 2003