Alfonso Maruccia

Microsoft e l'importanza di questo Patch Tuesday

Tra le vulnerabilitÓ risolte in questa tornata ce n'Ŕ una che risaliva addirittura a Windows 95. E anche Adobe fa la sua parte nel aggiornare i suoi software

Roma - Il Patch Tuesday di novembre 2014 era già stato classificato come un martedì di patch da record, ora la quantità e la qualità dei bug coperti dalla versione finale dei bollettini di sicurezza rilasciati da Microsoft confermano il record con "eccellenze" da guinness.

I 14 bollettini dell'ultimo Patch Tuesday coprono ben 33 vulnerabilità scovate sui sistemi operativi Windows, sul browser Internet Explorer e sul pacchetto Office, mentre la pubblicazione di altri due (MS14-068, MS14-075) è stata boccata per ragioni ancora da definire.

Il bug più grave tra quelli coinvolti nel Patch Tuesday di novembre 2014 è sicuramente quello del bollettino MS14-066, un errore di codice presente all'interno del componente "secure channel" (schannel) usato per implementare le comunicazioni su protocolli sicuri Secure Sockets Layer e Transport Layer Security (TLS). Si tratta di un baco serio, che affligge quasi ogni genere di piattaforma, sistema operativo o browser Web esistente, e nel caso di Windows si parla di conseguenze "catastrofiche" e della possibilità di eseguire codice malevolo da remoto inviando pacchetti di dati appositamente malformati.
Il rischio coinvolge tutte le versioni di Windows supportate, è particolarmente pericoloso nel caso dei server ma non esclude nemmeno i client; Microsoft dice che non esistono modi per mitigare le conseguenze del baco e quindi l'unica soluzione per evitare l'arrivo dei cyber-criminali è di installare l'aggiornamento il prima possibile.

In contemporanea al Patch Tuesday Microsoft ha aggiornato anche il pacchetto Enhanced Mitigation Experience Toolkit (EMET), rafforzando le protezioni anti-exploit e risolvendo le incompatibilità con software popolari come Adobe Flash, Mozilla Firefox e lo stesso Internet Explorer. Un altro bollettino di sicurezza rilasciato martedì prende di mira un baco scoperto dal ricercatore Robert Freeman, esistente da ben 18 anni nel codice di Windows (nella libreria OleAut32) a partire dall'oramai preistorica release della metà degli anni '90 (Windows 95).

Anche Adobe, come oramai succede da qualche mese a questa parte, si è "sincronizzata" con il Patch Tuesday di Microsoft rilasciando versioni aggiornate e corrette di Flash Player, e AIR (runtime desktop ed SDK).

Alfonso Maruccia
Notizie collegate
  • SicurezzaPOODLE e SSL 3.0, insicurezza da caniTecnici Google rivelano l'esistenza di una nuova, pericolosa falla all'interno del protocollo. Una tecnologia vecchia di tre lustri e che a quanto pare andrÓ presto definitivamente in pensione
  • SicurezzaPatch Tuesday, criticità e numeri recordMicrosoft anticipa i contenuti del prossimo martedý di patch, un consistente numero di bollettini e tante vulnerabilitÓ critiche da tappare, anche su Windows 10. Intanto, da qui a pochi mesi, si prospettano nuovi problemi per il mondo server
9 Commenti alla Notizia Microsoft e l'importanza di questo Patch Tuesday
Ordina
  • Ce ne sono voluti altrettanti per scoprirlo.
    Quindi, visto che nessuno ne era a conoscenza prima, è come se non fosse mai esistito.
    non+autenticato
  • Il Patch Tuesday di novembre 2014 era già stato classificato come un martedì di patch da record.

    Ma... ma... ma non era sicuro?Imbarazzato

    E allora come mai ogni martedì Microsoft stabilisce un nuovo record MONDIALE? Rotola dal ridere

    E allora come mai manco il Guinness dei Primati riesce a star dietro ai record del colosso di Redmond? Rotola dal ridere

    Accidenti, eppure qui gli esperti prendevano in giro gli utenti Apple ma Microsoft non è che sia messa meglio! Disinnamorato

    Ma non è che non sono poi tanto esperti come vorrebbero far credere? Newbie, inesperto
    non+autenticato
  • - Scritto da: Che cavolo stai dicendo Willis
    > Il Patch Tuesday di novembre 2014 era già
    > stato classificato come un martedì di patch da
    > record.

    >
    > Ma... ma... ma non era sicuro?Imbarazzato
    >
    > E allora come mai ogni martedì Microsoft
    > stabilisce un nuovo record MONDIALE?
    > Rotola dal ridere
    >
    > E allora come mai manco il Guinness dei Primati
    > riesce a star dietro ai record del colosso di
    > Redmond
    ?
    > Rotola dal ridere
    >
    > Accidenti, eppure qui gli esperti prendevano in
    > giro gli utenti Apple ma Microsoft non è che sia
    > messa meglio!
    > Disinnamorato
    >
    > Ma non è che non sono poi tanto esperti come
    > vorrebbero far credere?
    > Newbie, inesperto


    Ecco la soluzione:

    Clicca per vedere le dimensioni originali
    non+autenticato
  • La slide mi ha ricordato che Android si basa su Linux... bhe capisco molte cose!!!

    Tanti problemi con un PC non li avevo dai tempi di W98.

    francesco
    non+autenticato
  • - Scritto da: Triste
    > - Scritto da: Che cavolo stai dicendo Willis
    > > Il Patch Tuesday di novembre 2014 era già
    > > stato classificato come un martedì di patch da
    > > record.

    > >
    > > Ma... ma... ma non era sicuro ?Imbarazzato
    > >
    > > E allora come mai ogni martedì Microsoft
    > > stabilisce un nuovo record MONDIALE?
    > > Rotola dal ridere
    > >
    > > E allora come mai manco il Guinness dei Primati
    > > riesce a star dietro ai record del colosso di
    > > Redmond
    ?
    > > Rotola dal ridere
    > >
    > > Accidenti, eppure qui gli esperti prendevano in
    > > giro gli utenti Apple ma Microsoft non è che sia
    > > messa meglio!
    > > Disinnamorato
    > >
    > > Ma non è che non sono poi tanto esperti come
    > > vorrebbero far credere?
    > > Newbie, inesperto
    >
    >
    > Ecco la soluzione:
    >
    > [img]http://mashable.com/wp-content/uploads/2011/0


    il buco dei 18 anni ha la stessa età della frase "Questo è l'anno di linux"
  • - Scritto da: Triste
    > - Scritto da: Che cavolo stai dicendo Willis
    > > Il Patch Tuesday di novembre 2014 era già
    > > stato classificato come un martedì di patch da
    > > record.

    > >
    > > Ma... ma... ma non era sicuro?Imbarazzato
    > >
    > > E allora come mai ogni martedì Microsoft
    > > stabilisce un nuovo record MONDIALE?
    > > Rotola dal ridere
    > >
    > > E allora come mai manco il Guinness dei Primati
    > > riesce a star dietro ai record del colosso di
    > > Redmond
    ?
    > > Rotola dal ridere
    > >
    > > Accidenti, eppure qui gli esperti prendevano in
    > > giro gli utenti Apple ma Microsoft non è che sia
    > > messa meglio!
    > > Disinnamorato
    > >
    > > Ma non è che non sono poi tanto esperti come
    > > vorrebbero far credere?
    > > Newbie, inesperto
    >
    >
    > Ecco la soluzione:
    >
    > [img]http://mashable.com/wp-content/uploads/2011/0

    20 anni e siamo al 2% sui desktop...
  • - Scritto da: Che cavolo stai dicendo Willis
    > Il Patch Tuesday di novembre 2014 era già
    > stato classificato come un martedì di patch da
    > record.

    >
    > Ma... ma... ma non era sicuro?Imbarazzato
    >
    > E allora come mai ogni martedì Microsoft
    > stabilisce un nuovo record MONDIALE?
    > Rotola dal ridere
    >
    > E allora come mai manco il Guinness dei Primati
    > riesce a star dietro ai record del colosso di
    > Redmond
    ?
    > Rotola dal ridere
    >
    > Accidenti, eppure qui gli esperti prendevano in
    > giro gli utenti Apple ma Microsoft non è che sia
    > messa meglio!
    > Disinnamorato
    >
    > Ma non è che non sono poi tanto esperti come
    > vorrebbero far credere?
    > Newbie, inesperto

    Perchè, tu ci credevi?

    Il problema non è tanto il fatto che facciano patch in quantità, quanto quello che nella quantità ci sia qualche perla che fa danni ben più consistenti di quelli che vorrebbe riparare.

    Preferisco di gran lunga rischiare avvedutamente per qualche giorno come ho rischiato per anni da quando utilizzo sistemi traballanti a finestre (o quadrettoni), dando tempo ad altri di scornarsi con detti updates, piuttosto che ritrovarmi il sistema che non parte più o diventa inutilizzabile: meglio il rischio per una settimana di qualche virus che circola da decenni e non mi ha ancora fatto nulla, che l'eventualità di restar drammaticamente fermi.
    Comunque con poche decine di euro di acquistano HD USB esterni per salvataggi a volontà, di sistema bootabile sopratutto, e su marchingegni a finestre/quadrettoni questa è una cosa molto più importante dell'immediatezza di aggiornamenti appena rilasciati.
  • > Ma... ma... ma non era sicuro?Imbarazzato

    si , però non lo è è nessuno. nessuno può garantire che un software sia privo di bug. qualcuno può pensare che lo sia, sperarlo o nascondere che abbia dei bug. però ci sono e lo sappiamo.

    in questo scenario dunque non conta se un bug viene scovato o la sua criticità, perchè tutti i sistemi in circolazione ne hanno, ne hanno avuti e ne avranno ancora.

    dunque quello che fa la differenza è come si comporta il produttore del sw davanti ad una falla grave nel proprio prodotto.
    c'e' un piano preciso per il rilascio degli aggiornamenti? c'è una documentazione adeguata sul bug? l'informazione raggiunge tutti, anche le persone che non hanno dimestichezza con l'informatica e riescono a capire il problema e risolverlo? in che tempi?

    se guardi il problema da questo punto di vista, potresti scorgere il motivo per cui in campo aziendale il 90% degli esperti sceglie un sistema e lo ritiene sicuro. una sicurezza che non è data dalla vana speranza di avere un sistema puro e perfetto, ma dalla consapevolezza che è imperfetto, ma di sapere sempre come gestire la situazione.
    non+autenticato