Microsoft e Adobe, patch e zero-day

Microsoft e Adobe, patch e zero-day

Mentre vengono rilasciati i tradizionali aggiornamenti mensili, i cyber-criminali sono già all'attacco di due falle 0-day fin qui ignote al pubblico. L'update per la vulnerabilità di Flash Player arriverà a breve, quella di Microsoft è stata sistemata
Mentre vengono rilasciati i tradizionali aggiornamenti mensili, i cyber-criminali sono già all'attacco di due falle 0-day fin qui ignote al pubblico. L'update per la vulnerabilità di Flash Player arriverà a breve, quella di Microsoft è stata sistemata

Microsoft ha avviato la distribuzione dei bollettini di sicurezza di maggio 2016 , un menù che questo mese comprende ben 18 diversi aggiornamenti indirizzati a 36 vulnerabilità uniche. Il livello di allarme è alto, soprattutto in considerazione del fatto che sono ben due le falle 0-day (già attivamente sfruttate dai criminali e senza update correttivi disponibili) in circolazione.

Il martedì di patch di maggio 2016 è rappresentato per metà da aggiornamenti classificati come “critici”, che coinvolgono buona parte dei prodotti software di Microsoft con falle potenzialmente sfruttabili per compromettere il sistema ed eseguire codice malevolo da remoto.
All’appello delle patch di sicurezza critiche non mancano di rispondere Office, gli engine di scripting JScript e VBScript e diverse componenti dei sistemi operativi Windows come Journal, kernel, Media Center e Microsoft Graphics Component. Le altre otto patch “importanti” riguardano bug che vanno dalla distribuzione di informazioni sensibili all’esecuzione di codice malevolo da remoto passando per l’elevazione dei privilegi utente.

Prevedibilmente coinvolti anche i browser Internet Explorer e Microsoft Edge, con Windows 10 a guadagnarsi il suo solito dosaggio di update dedicati con tutti i problemi che gli aggiornamenti automatici del nuovo OS-come-servizio possono comportare .

La falla 0-day (CVE-2016-0189) corretta da Microsoft risiede nei succitati engine JScript e VBScript di Windows (MS16-053), e secondo i ricercatori di sicurezza è già stata utilizzata dagli ignoti cyber-criminali che hanno preso di mira i siti Web della Corea del Sud.

Per quanto riguarda la vulnerabilità 0-day individuata da FireEye in Flash Player , poi, Adobe ne ha riconosciuto l’esistenza e la gravità e ha promesso un update in arrivo nei prossimi giorni. In sincrono con l’ex-Patch Tuesday di Microsoft sono invece arrivati aggiornamenti per Acrobat, Reader e ColdFusion pensati per chiudere 95 diverse falle.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 11 mag 2016
Link copiato negli appunti