Come di consueto, oggi Microsoft ha pubblicato alcune anticipazioni sui bollettini di sicurezza previsti per il prossimo martedì.
I bollettini di luglio saranno quattro, tra i quali tre “critical” e uno “important”, e correggeranno complessivamente cinque vulnerabilità in Windows e Office, tutte potenzialmente sfruttabili a distanza. I prodotti interessati sono Windows XP, Windows Server 2003, Windows 7 Windows Server 2008 R2, Office XP, Office 2003 e Office 2007.
Due di questi bollettini risolveranno le vulnerabilità pubbliche segnalate da Microsoft nell’advisory 2028859 , relativo al Canonical Display Driver , e nell’advisory 2219475 , relativo all’Help and Support Center di Windows XP . Quest’ultima falla, che era stata divulgata da un ricercatore di Google, è già stata sfruttata in alcuni attacchi .
Microsoft aveva severamente rimproverato il dipendente di Google, Tavis Ormandy, per aver rivelato anzitempo i dettagli della vulnerabilità da lui scoperta. Ormandy si era difeso sostenendo che la sua scelta era stata dettata dallo scarso interesse mostrato dall’azienda di Redmond nel correggere il problema in tempi brevi.
Un gruppo di ricercatori che si fa chiamare Microsoft-Spurned Researcher Collective (nome che gioca sulla sigla del Microsoft Security Response Center), la scorsa settimana ha minacciato Microsoft di rendere pubbliche diverse vulnerabilità di Windows Vista e Server 2008 ancora senza patch: questo in risposta a quello che, a loro dire, è “l’ostilità mostrata da Microsoft verso i ricercatori di sicurezza”. Il gruppo ha citato il caso di Ormandy come uno dei più recenti esempi dell’atteggiamento aggressivo di Microsoft.
Il Microsoft Security Response Center ricorda che a partire dal prossimo martedì scadrà il supporto a Windows 2000 e Windows XP SP2, di conseguenza questi sistemi operativi non beneficeranno più degli aggiornamenti di sicurezza.
Alessandro Del Rosso