Quello di novembre è un Update Tuesday con notevoli elementi di interesse, con Microsoft impegnata a rilasciare 14 bollettini di sicurezza e aggiornamenti – tra le altre cose – per almeno due vulnerabilità di sicurezza note per essere già attivamente sfruttate dai cyber-criminali nelle loro campagne malevole.
I bollettini del mese includono patch e correttivi per ben 68 falle individuate nei sistemi operativi Windows, nei browser di Redmond (Internet Explorer/Edge), nella suite di produttività Office e in SQL Server, con sei bollettini classificati con livello di pericolosità “critico” e il resto “solo” importanti.
Tra gli aggiornamenti importanti c’è appunto il bollettino MS16-135 , update progettato per risolvere un problema nel kernel di Windows che, se utilizzato assieme a una falla del plug-in Adobe Flash, permette ai cyber-criminali di installare programmi, modificare dati e creare nuovi account con pieni poteri – il tutto agendo da remoto.
Il baco è noto alle cronache per aver causato un piccolo incidente diplomatico tra Microsoft e Google , con quest’ultima colpevole – a dire di Redmond – di aver rivelato i dettagli del problema con alcuni giorni di anticipo sull’arrivo della patch. E nonostante il fatto che la falla (0-day) fosse già sfruttata da cyber-criminali russi del gruppo noto come “STRONTIUM”.
Mountain View vuole, anzi pretende che i suoi concorrenti aggiornino i rispettivi prodotti software nei tempi dettati dal Googleplex, ma quando si tratta di aggiornare Android la storia sembra piuttosto diversa: l’ update di novembre per l’OS mobile non include un fix per la falla nota come Dirty COW , problema per cui i produttori OEM di dispositivi mobile dovranno arrangiarsi fino a dicembre .
Alfonso Maruccia
Ti potrebbe interessare
9 nov 2016