Domani è un martedì di patch per i prodotti Microsoft: il primo Patch Tuesday dell’anno 2013 conterrà sette diversi bollettini, comunicano da Redmond, correggendo vulnerabilità contenute in diverse tipologie di prodotti software.
Per la precisione le falle corrette ammontano a ben 12, con livelli di pericolosità compresi fra “Important” (cinque bollettini) e “Critical” (due bollettini). I prodotti coinvolti includono le diverse versioni di Windows attualmente supportate, Office, software di sviluppo e per server.
Quello che, a quanto pare , il Patch Tuesday di inizio anno non conterrà è una misura risolutiva per la falla zero-day recentemente scoperta all’interno delle versioni meno recenti di Internet Explorer, una vulnerabilità che non sarebbe molto in alto nella lista delle priorità di Microsoft sul versante della sicurezza.
Secondo quanto scoperto da Symantec, inoltre, la suddetta falla sarebbe riconducibile allo stesso gruppo di ignoti cyber-criminali responsabile del cosiddetto progetto Elderwood , un gruppo specializzato nell’individuazione e nello sfruttamento di falle 0-day ad alta pericolosità.
Falla IE a parte, oltre ad anticipare il Patch Tuesday Microsoft ha in questi giorni colto l’occasione per comunicare l’invalidazione di due certificati rilasciati dalla Certificate Authority (CA) TURKTRUST. Come già spiegato da Google , i certificati di CA intermedia (rilasciati per errore al posto di certificati SSL) di TURKTRUST sono stati impiegati da ignoti per generare firme digitali fasulle riconducibili al dominio “Google.com”.
L’invalidazione dei certificati può avvenire in automatico (per chi ha scaricato l’apposito strumento di aggiornamento della Certificate Trust List rilasciato lo scorso giugno) o manualmente tramite Microsoft Update (unico metodo di update disponibile per chi ancora usa Windows XP o Windows Server 2003).
Alfonso Maruccia