Praticamente ogni versione di Internet Explorer dalla 6 alla 11 compresa (con qualche eccezione per le ultimissime build di IE11): è questo il resoconto del bollettino che illustra le patch applicate al browser nella versione di ottobre del Patch Tuesday, una tradizione di Microsoft per rilasciare in un colpo solo tutti gli aggiornamenti di sicurezza elaborati mensilmente per i propri software. In totale sono 26 i problemi a cui BigM fa fronte in questo caso, ma senz’altro IE era il prodotto che attendeva con maggiore trepidazione una cura per le due falle zero-day in circolazione e attivamente sfruttate . Gli altri software interessati comprendono Office, Sharepoint, Silverlight, dotNET e Windows stesso.
Qualche critica è stata espressa a Microsoft per aver atteso il ciclo di aggiornamento mensile per rilasciare una patch: qualcuno avrebbe preferito un aggiornamento straordinario per fare fronte al rischio corso da tutti gli utenti , sebbene in realtà il numero di attacchi sia stato fino a questo punto piuttosto ristretto e quasi tutti mirati a specifici obiettivi. Ma IE non è stato il solo componente del sistema a venire patchato: anche sette vulnerabilità nell’utilizzo dei driver a livello kernel e qualche altri bug potenzialmente sfruttabile per scrivere worm capaci di infettare i sistemi operativi con il logo della finestra. In ogni caso, massima celerità è raccomandata nell’applicare le patch di ottobre vista la natura dei bug di IE.
Il patch tuesday di ottobre è anche quello in cui ricade il decimo anniversario dell’iniziativa : il primo venne celebrato a ottobre del 2003, e di fatto questa iniziativa ha cambiato la pratica di rilascio degli aggiornamenti di sicurezza influenzando anche altre aziende (Adobe per esempio si è “sincronizzata” con le patch di Microsoft e ne ha appena rilasciata una per Reader e Acrobat ). Per festeggiare, si fa per dire, Microsoft ha anche annunciato che pagherà una taglia da 100mila dollari (oltre il massimo previsto) allo scopritore di un exploit che avrebbe potuto rendere vani i tentativi di neutralizzazione messi in atto da BigM nelle più recenti versioni del sistema operativo con apposite tecnologie (eg: ASLR, DEP ecc).
Il fortunato destinatario dell’assegno a sei cifre è Thomas Garnier, che per altro lavora proprio per Microsoft. Ma ci sono altre taglie pagate per altri 28mila dollari ad altri ricercatori esperti in sicurezza, che hanno segnalato altre problematiche nel software di Redmond.
Tornando a Internet Explorer, le indagini su chi abbia sfruttato la falla zero-day svelata a settembre vanno avanti , ma Microsoft non rinuncia a elogiare le qualità di IE11 in uscita con Windows 8.1 questo mese. Secondo BigM la nuova release sarà più veloce, più potente e con molte funzionalità da far invidia alla concorrenza: nulla si dice della sicurezza, ma per quella ci sono i patch tuesday.
Luca Annunziata