Milano – Era da tre anni che non si vedeva un patch tuesday così snello, e gli osservatori non hanno potuto non notarlo : sono soltanto tre i bollettini emessi questo gennaio da Microsoft, tre bug corretti di cui soltanto uno serio. Uno addirittura riguarda vecchie versioni di Windows. Ha tutta l’aria di essere un antipasto : dal prossimo mese cambierà il modo in cui a Redmond gestiranno l’intera questione della sicurezza del software, e potrebbe esserci un’enorme infornata di patch e pacchetti da scaricare e installare che aspetta gli utenti appena dietro l’angolo.
Dunque solo tre bollettini . Il primo , il più importante, riguarda Office : è segnalato come critico e riguarda i servizi online del prodotto. C’è un problema nella gestione della memoria che potrebbe condurre alla corruzione dei dati, e alla conseguente esecuzione di codice da remoto da parte di un attaccante. Meno singificativo, ma altrettanto importante da risolvere, quello relativo alla gestione dei privilegi di Edge : il browser può essere ingannato da una pagina appositamente creata, generando una injection di codice malevolo in siti terzi senza che la vittima ne sia consapevole. Infine, c’è una patch per Vista, Windows 7 e Windows Server 2008 (versione R2 compresa), che riguarda il sottosistema LSASS e un problema di denial-of-service che potrebbe generarsi in seno a questo codice in presenza di autenticazione fallace.
Da ricordare che anche Adobe è solita sincronizzare le sue patch con quelle di Microsoft , e non fa eccezione questo gennaio: 13 vulnerabilità di Flash , e 29 di Reader e Acrobat sono state risolte in questa occasione, con il consiglio per chi non utilizza i plugin integrati nei browser (Chrome ed Edge) di aggiornarsi rapidamente alla versione 24.0.0.194 di Flash e 15.023.20053 di Reader. Non ci sono attualmente, a conoscenza di Adobe, exploit conosciuti per i bug che queste patch vanno a sanare: prevenire, però, si sa è sempre meglio che curare.
Tornando a Microsoft, quello che accadrà dal prossimo febbraio è che Redmond inizierà a illustrare con più dovizia di particolari e facilità di consultazione le informazioni sulla sicurezza in un apposito portale realizzato allo scopo: si potrà ottenere facilmente l’elenco delle patch disponibili per uno specifico prodotto, per esempio una versione particolare del sistema operativo Windows, o escludere dall’elenco quanto non si ha installato nel proprio sistema. L’obiettivo di Microsoft è chiaramente quello di rendere più fruibili e e meglio consultabili queste informazioni: migliorare questo aspetto dovrebbe consentire a chiunque, qualunque sia il suo livello di pratica, di poter affrontare meglio e con maggiore consapevolezza la questione della sicurezza sempre più attuale sui PC perennemente connessi.
Luca Annunziata