È un periodo decisamente problematico per la sicurezza degli OS Windows, una piattaforma che deve fare i conti con alcune vulnerabilità di alto profilo per cui non esistono ancora patch correttive. Microsoft ha cancellato il Patch Day del mese di febbraio, ma questo non ha impedito a Google di rincarare ulteriormente la dose rivelando l’esistenza dell’ennesimo baco potenzialmente molto pericoloso.
La nuova falla, neanche a dirlo, riguarda i due browser nativi di Windows ( Internet Explorer ed Edge ) e può in certe condizioni portare all’esecuzione di codice malevolo da remoto tramite l’utilizzo di fogli di stile (CSS) e script JavaScript adeguatamente predisposti.
A individuare il baco è stato ancora una volta un membro del team di sicurezza Project Zero di Google , iniziativa che adotta una politica piuttosto severa in fatto di pubblicazione dei dettagli delle falle dando un massimo di 90 giorni di tempo (più un’estensione di 14 giorni) ai produttori per rilasciare un’apposita patch correttiva.
Da Google si sono detti “sorpresi” del fatto che Microsoft non abbia corretto ancora il bug, ma sarà in ogni caso necessario attendere almeno tre settimane per l’aggiornamento . Il nuovo baco si unisce agli altri due già noti, uno dei quali scoperto sempre da Google in una patch precedente non proprio riuscitissima. Fortunatamente, al momento non si conoscono attacchi informatici in grado di sfruttare attivamente le falle.
Microsoft sembra infine avere in cantiere una mossa per certi versi radicale, che in teoria potrebbe migliorare in maniera significativa la sicurezza di Windows 10: una nuova versione beta (Preview Build 15042) dell’OS in perenne aggiornamento permette di disabilitare l’installazione di software per computer propriamente detto (Win32), limitando la possibilità di scelta alle app scaricate dallo Store ufficiale e trasformando di fatto un PC Windows in un elemento di un ecosistema chiuso. Con una selezione di applicazioni tra l’altro decisamente inferiore – in quanto a qualità e scelta – rispetto ai walled garden basati su iOS e Android.
Alfonso Maruccia