Alfonso Maruccia

Patch Tuesday, Microsoft contro falle vecchie e nuove

Redmond ha rilasciato un corposo pacchetto di aggiornamenti, una lunga lista di update che prende in considerazione problemi emersi di recente come FREAK (sistemato anche da Apple) ma anche difetti vecchi di anni, di cui abusava Stuxnet

Roma - Il secondo martedì del mese è arrivato e così il Patch Tuesday che Microsoft ha organizzato per marzo 2015, un "pacco" che include 14 bollettini di sicurezza cinque dei quali classificati con importanza critica. Dentro il nuovo Patch Tuesday c'è di tutto, persino un nuovo fix (definitivo) per una vulnerabilità vecchia di 5 anni e già usata dal malware Stuxnet.

I prodotti software coinvolti nell'aggiornamento cumulativo di marzo 2015 includono Windows, l'immancabile browser Internet Explorer, il pacchetto Office, SharePoint Server ed Exchange Server: fra tante, di particolare rilievo la patch indirizzata a chiudere la vulnerabilità nelle comunicazioni SSL/TLS nota come FREAK.

Windows era stato inizialmente escluso dalla lista dei software vulnerabili alla "degradazione" del livello di sicurezza delle comunicazioni cifrate (HTTPS), ma poi era stata la stessa Microsoft ad ammettere l'esistenza del problema anche sui suoi sistemi operativi per PC. Il Patch Tuesday aggiorna il componente SChannel di Windows eliminando (augurabilmente) il rischio di usare protocolli crittografici insicuri.
Un'altra vulnerabilità pericolosa chiusa dai bollettini di marzo è quella del Cross-Site Scripting universale scoperta in Internet Explorer il mese scorso, mentre un altro paio di bollettini critici chiudono due falle in (Windows) Explorer e Office potenzialmente sfruttabili per compromettere il sistema da remoto.

Un po' a sorpresa, o forse no, l'Update Tuesday di marzo 2015 include anche un aggiornamento critico (MS15-020) per una falla di esecuzione codice da remoto che si credeva chiusa già nel 2010, un problema nella gestione incorretta dei link (.lnk) da parte di Windows che era stato inizialmente scoperto come una delle quattro falle 0-day usate dal "super-malware" Stuxnet per infettare i PC Windows degli impianti nucleari iraniani.

Sempre parlando di FREAK, infine, aggiornamenti correttivi sono arrivati anche da Apple come promesso: il Security Update 2015-002 di Cupertino elimina vari bug negli OS dei sistemi Mac (da Mountain Lion a Yosemite) e iOS 8.2 si occupa di mettere in sicurezza gli utenti mobile del browser Safari.

Alfonso Maruccia
Notizie collegate
  • SicurezzaInternet Explorer, nuova falla XSSIE risulta bucato, e questa volta si tratta di una vulnerabilitÓ XSS. Coinvolte le versioni aggiornate del browser Microsoft su sistema operativo Windows 7. Una patch Ŕ in corso di sviluppo
  • SicurezzaFREAK, vulnerabilità TLS/SSL di giornataIdentificata una nuova falla di sicurezza nelle tecnologie crittografiche usate per proteggere le comunicazioni Web, un problema per cui il governo USA Ŕ direttamente responsabile. Patch in arrivo
  • SicurezzaFREAK è un problema anche per WindowsLa grave vulnerabilitÓ nelle comunicazioni Web cifrate riguarda anche i sistemi operativi Windows, avverte Microsoft. In attesa di una pezza, il rischio pu˛ essere mitigato. Mentre su cloud sono dolori
1 Commenti alla Notizia Patch Tuesday, Microsoft contro falle vecchie e nuove
Ordina