Alfonso Maruccia

Microsoft, patch per le 0-day

Il tradizionale martedý di aggiornamenti di Redmond coincide con la sistemazione di due falle giÓ attivamente sfruttate dai criminali. Compresa quella rivelata da Google, che per˛ distribuisce le sue patch in ritardo

Roma - Quello di novembre è un Update Tuesday con notevoli elementi di interesse, con Microsoft impegnata a rilasciare 14 bollettini di sicurezza e aggiornamenti - tra le altre cose - per almeno due vulnerabilità di sicurezza note per essere già attivamente sfruttate dai cyber-criminali nelle loro campagne malevole.

I bollettini del mese includono patch e correttivi per ben 68 falle individuate nei sistemi operativi Windows, nei browser di Redmond (Internet Explorer/Edge), nella suite di produttività Office e in SQL Server, con sei bollettini classificati con livello di pericolosità "critico" e il resto "solo" importanti.

Tra gli aggiornamenti importanti c'è appunto il bollettino MS16-135, update progettato per risolvere un problema nel kernel di Windows che, se utilizzato assieme a una falla del plug-in Adobe Flash, permette ai cyber-criminali di installare programmi, modificare dati e creare nuovi account con pieni poteri - il tutto agendo da remoto.
Il baco è noto alle cronache per aver causato un piccolo incidente diplomatico tra Microsoft e Google, con quest'ultima colpevole - a dire di Redmond - di aver rivelato i dettagli del problema con alcuni giorni di anticipo sull'arrivo della patch. E nonostante il fatto che la falla (0-day) fosse già sfruttata da cyber-criminali russi del gruppo noto come "STRONTIUM".

Mountain View vuole, anzi pretende che i suoi concorrenti aggiornino i rispettivi prodotti software nei tempi dettati dal Googleplex, ma quando si tratta di aggiornare Android la storia sembra piuttosto diversa: l'update di novembre per l'OS mobile non include un fix per la falla nota come Dirty COW, problema per cui i produttori OEM di dispositivi mobile dovranno arrangiarsi fino a dicembre.

Alfonso Maruccia
Notizie collegate
11 Commenti alla Notizia Microsoft, patch per le 0-day
Ordina
  • cluster bomb una vita parallela 8 pollici le infinite soluzioni
    non+autenticato
  • Google non è coerente.
    Prima pressa la Microsoft affinché venga corretto un bug di win32k.sys entro 7 giorni (10 in questo caso) pena la divulgazione della descrizione dello stesso, come se fosse semplice correggere un file critico.
    Poi però non corregge un bug vecchio di due anni (!) sul suo stesso browser, che ora viene sfruttato.
    http://betanews.com/2016/11/09/google-fail-chrome-.../
    -----------------------------------------------------------
    Modificato dall' autore il 10 novembre 2016 14.38
    -----------------------------------------------------------
  • - Scritto da: Eurodance
    > Google non è coerente.
    > Prima pressa la Microsoft affinché venga corretto
    > un bug di win32k.sys entro 7 giorni (10 in questo
    > caso) pena la divulgazione della descrizione
    > dello stesso, come se fosse semplice correggere
    > un file
    > critico.
    > Poi però non corregge un bug vecchio di due anni
    > (!) sul suo stesso browser, che ora viene
    > sfruttato.
    > http://betanews.com/2016/11/09/google-fail-chrome-

    E un bel chissenefrega non ce lo vogliamo mettere?

    Quale medico ti ha prescritto di usare chrome?
  • - Scritto da: panda rossa
    > - Scritto da: Eurodance
    > > Google non è coerente.
    > > Prima pressa la Microsoft affinché venga
    > corretto
    > > un bug di win32k.sys entro 7 giorni (10 in
    > questo
    > > caso) pena la divulgazione della descrizione
    > > dello stesso, come se fosse semplice
    > correggere
    > > un file
    > > critico.
    > > Poi però non corregge un bug vecchio di due
    > anni
    > > (!) sul suo stesso browser, che ora viene
    > > sfruttato.
    > >
    > http://betanews.com/2016/11/09/google-fail-chrome-
    >
    > E un bel chissenefrega non ce lo vogliamo mettere?
    >
    > Quale medico ti ha prescritto di usare chrome?

    Io non ho installato Chrome sul mio computer.
  • - Scritto da: Eurodance
    > - Scritto da: panda rossa
    > > - Scritto da: Eurodance
    > > > Google non è coerente.
    > > > Prima pressa la Microsoft affinché venga
    > > corretto
    > > > un bug di win32k.sys entro 7 giorni (10 in
    > > questo
    > > > caso) pena la divulgazione della
    > descrizione
    > > > dello stesso, come se fosse semplice
    > > correggere
    > > > un file
    > > > critico.
    > > > Poi però non corregge un bug vecchio di due
    > > anni
    > > > (!) sul suo stesso browser, che ora viene
    > > > sfruttato.
    > > >
    > >
    > http://betanews.com/2016/11/09/google-fail-chrome-
    > >
    > > E un bel chissenefrega non ce lo vogliamo
    > mettere?
    > >
    > > Quale medico ti ha prescritto di usare chrome?
    >
    > Io non ho installato Chrome sul mio computer.

    E allora che ti frega?
  • - Scritto da: Eurodance
    > Google non è coerente.
    > Prima pressa la Microsoft affinché venga corretto
    > un bug di win32k.sys entro 7 giorni (10 in questo
    > caso) pena la divulgazione della descrizione
    > dello stesso, come se fosse semplice correggere
    > un file
    > critico.
    > Poi però non corregge un bug vecchio di due anni
    > (!) sul suo stesso browser, che ora viene
    > sfruttato.
    > http://betanews.com/2016/11/09/google-fail-chrome-
    > --------------------------------------------------
    > Modificato dall' autore il 10 novembre 2016 14.38
    > --------------------------------------------------
    io piu che altro mi chiederei perche esiste una roba come history.pushState() accessibile a javascript e addirittura in html5 ... manipolare sta roba via estensione e' un conto... ma a che pro il resto? Less is More...
    non+autenticato
  • 68 falle!!! UAHUAHUAH!!!... mi ricordo bene le campagne di anni fa, dai tempi di Vista-WOW & co., con la promessa di fare software meno bacato..
    e lo scrivo da utente Windows, ahimè
    Fuffa, fuffa. Per avere software meno bacato, probabilmente bisognerebbe fare rilasci più tardivi, cioè maggiori verifiche. Impossibile con il modo attuale di fare le cose
    non+autenticato
  • - Scritto da: Osvy
    > 68 falle!!! UAHUAHUAH!!!... mi ricordo bene le
    > campagne di anni fa, dai tempi di Vista-WOW &
    > co., con la promessa di fare software meno
    > bacato..
    > e lo scrivo da utente Windows, ahimè
    > Fuffa, fuffa. Per avere software meno bacato,
    > probabilmente bisognerebbe fare rilasci più
    > tardivi, cioè maggiori verifiche. Impossibile con
    > il modo attuale di fare le
    > cose

    Guarda che E' meno bacato.
    Siamo passati dalle 500 falle al mese alle 68.

    Certo, queste sono molto piu' larghe, ma stai a guarda' er capello!
  • - Scritto da: panda rossa
    > - Scritto da: Osvy
    > > 68 falle!!! UAHUAHUAH!!!... mi ricordo bene
    > le
    > > campagne di anni fa, dai tempi di Vista-WOW &
    > > co., con la promessa di fare software meno
    > > bacato..
    > > e lo scrivo da utente Windows, ahimè
    > > Fuffa, fuffa. Per avere software meno bacato,
    > > probabilmente bisognerebbe fare rilasci più
    > > tardivi, cioè maggiori verifiche.
    > Impossibile
    > con
    > > il modo attuale di fare le
    > > cose
    >
    > Guarda che E' meno bacato.
    > Siamo passati dalle 500 falle al mese alle 68.
    >
    > Certo, queste sono molto piu' larghe, ma stai a
    > guarda' er
    > capello!

    "Quale medico ti ha prescritto di usare windows?"
  • Google dopo aver avvisato il produttore rende pubblica la falla passati un certo numero di giorni e questo vale anche per le sue di falle. poi al produttore non lo obbliga nessuno a correggerla.
    non+autenticato
  • la (doppia) menzione nel bulletin e' effettivamente ambigua MA il 2016-11-06 security patch level COMPRENDE il dirty cow (almeno nella sua versione del cve5195)... e in effetti http://www.bleepingcomputer.com/news/security/nove.../ descrive la cosa un po' diversamente. Cmq non ho modo di provareCon la lingua fuori
    non+autenticato