Ieri era il secondo martedì del mese, e come da tradizione Microsoft ha rilasciato le ultime patch per Windows e gli altri prodotti software commercializzati dalla corporation. Diversamente dal solito, però, il “Patch Tuesday” di aprile ha coinciso con il pensionamento dei tradizionali bollettini di sicurezza e la loro sostituzione con la cosiddetta Security Update Guide (SUG).
La nuova modalità di presentazione delle patch dovrebbe, nelle intenzioni di Microsoft, facilitare la gestione e l’installazione degli aggiornamenti da parte degli amministratori di sistema; nei fatti, la SUG rappresenta un taglio netto con il passato che sembra rendere più complicata la consultazione dei dettagli delle singole patch e finisce per “nascondere” caratteristiche importanti come la gravità e la priorità di installazione di un update.
Le note di rilascio ufficiali per gli aggiornamenti di sicurezza di aprile sono a dir poco striminzite, con Microsoft impegnata a “comunicare” la distribuzione di update per Internet Explorer, Edge, Windows, Office, Visual Studio per Mac, . NET Framework, Silverlight, Adobe Flash Player. Scavando tra i singoli update – ora classificati in relazione alle falle “CVE” coinvolte – si scopre che le patch di aprile servono prima di tutto a correggere tre gravi bug di sicurezza , compresa la falla OLE di Word e altri due bachi 0-day già attivamente sfruttati dai cyber-criminali.
In totale sono 45 le vulnerabilità corrette dalle patch di aprile, 16 delle quali classificate con livello di vulnerabilità critico e riguardanti IE, Edge, il già citato Microsoft Word, l’ipervisore Hyper-V. Il resto delle falle – con livello di pericolosità “importante” o “moderato” – riguarda la API Win32K, il kernel di Windows e ulteriori problemi in Office o Hyper-V.
Il Patch Tuesday del mese coincide con l’ultima sfornata di update per Windows Vista , per cui ora termina il periodo di supporto esteso , e con il debutto ufficiale del Creators Update pensato per implementare nuove funzionalità nell’OS-come-servizio che è diventato Windows 10.
Un aggiornamento (preliminare per Insider) è stato poi distribuito anche per la versione di Windows 10 destinata ai gadget e telefonini ARM.
Sul fronte Adobe – che oramai sincronizza le patch con quelle di Microsoft – si segnalano update pensati per correggere 58 bug in Flash Player (sette falle critiche), Acrobat, Reader e persino Photoshop.
Alfonso Maruccia