Dopo l’ abbuffata pre-natalizia del 14 dicembre scorso, Microsoft annuncia un nuovo “Patch Tuesday” alquanto leggerino, preparando due soli bollettini di sicurezza con l’obiettivo di chiudere altrettanti “buchi” presenti in Windows (e relativi componenti software) classificati – rispettivamente – “critical” e “important”. Ma gli esperti storcono il naso sulla mancata distribuzione di pezze specifiche per le falle zero-day emerse di recente .
La vulnerabilità critica che verrà patchata nel prossimo Patch Tuesday riguarda tutte le versioni di Windows da XP in poi, dice Microsoft, e la patch chiuderà un buco che “potrebbe favorire la propagazione di un worm Internet senza l’intervento dell’utente”. L’altra vulnerabilità, classificata “importante”, riguarda invece il solo Windows Vista.
Il nuovo piatto di patch cucinato da Redmond è leggero, forse troppo leggero denunciano gli esperti di sicurezza: fuori dal previsto aggiornamento restano vulnerabilità recentemente salite alla ribalta delle cronache informatiche – come quella presente nel componente Graphics Rendering Engine o il discusso bug di IE scoperto da un ingegnere di Google – e che sono già state prese di mira dai “bravi ragazzi” dell’underground telematico con la distribuzione di exploit funzionanti.
Per i suddetti bachi ancora aperti Microsoft dice di continuare a fare opera di monitoraggio attivo, raccomandando l’applicazione dei fattori mitiganti già consigliati nei rispettivi “advisory” di sicurezza e assicurando l’utenza sul fatto di essere pronta a intervenire nel caso in cui la situazione cambiasse all’improvviso.
Dovesse insomma verificarsi un incidente serio o l’avvio di un’infezione di massa, dicono da Redmond, il team di ricercatori Microsoft è pronto a rilasciare patch “fuori-ciclo” per rattoppare i buchi . Uno scenario che i succitati esperti di sicurezza considerano plausibile , ipotizzando il rilascio di un numero maggiore di aggiornamenti rispetto ai due bollettini preventivati per il secondo martedì di gennaio.
Alfonso Maruccia