Microsoft e l'importanza di questo Patch Tuesday

Tra le vulnerabilità risolte in questa tornata ce n'è una che risaliva addirittura a Windows 95. E anche Adobe fa la sua parte nel aggiornare i suoi software
Tra le vulnerabilità risolte in questa tornata ce n'è una che risaliva addirittura a Windows 95. E anche Adobe fa la sua parte nel aggiornare i suoi software

Il Patch Tuesday di novembre 2014 era già stato classificato come un martedì di patch da record , ora la quantità e la qualità dei bug coperti dalla versione finale dei bollettini di sicurezza rilasciati da Microsoft confermano il record con “eccellenze” da guinness.

I 14 bollettini dell’ultimo Patch Tuesday coprono ben 33 vulnerabilità scovate sui sistemi operativi Windows, sul browser Internet Explorer e sul pacchetto Office, mentre la pubblicazione di altri due (MS14-068, MS14-075) è stata boccata per ragioni ancora da definire.

Il bug più grave tra quelli coinvolti nel Patch Tuesday di novembre 2014 è sicuramente quello del bollettino MS14-066 , un errore di codice presente all’interno del componente “secure channel” ( schannel ) usato per implementare le comunicazioni su protocolli sicuri Secure Sockets Layer e Transport Layer Security (TLS). Si tratta di un baco serio, che affligge quasi ogni genere di piattaforma, sistema operativo o browser Web esistente, e nel caso di Windows si parla di conseguenze “catastrofiche” e della possibilità di eseguire codice malevolo da remoto inviando pacchetti di dati appositamente malformati.

Il rischio coinvolge tutte le versioni di Windows supportate, è particolarmente pericoloso nel caso dei server ma non esclude nemmeno i client; Microsoft dice che non esistono modi per mitigare le conseguenze del baco e quindi l’unica soluzione per evitare l’arrivo dei cyber-criminali è di installare l’aggiornamento il prima possibile.

In contemporanea al Patch Tuesday Microsoft ha aggiornato anche il pacchetto Enhanced Mitigation Experience Toolkit (EMET), rafforzando le protezioni anti-exploit e risolvendo le incompatibilità con software popolari come Adobe Flash, Mozilla Firefox e lo stesso Internet Explorer. Un altro bollettino di sicurezza rilasciato martedì prende di mira un baco scoperto dal ricercatore Robert Freeman, esistente da ben 18 anni nel codice di Windows (nella libreria OleAut32 ) a partire dall’oramai preistorica release della metà degli anni ’90 (Windows 95).

Anche Adobe, come oramai succede da qualche mese a questa parte, si è “sincronizzata” con il Patch Tuesday di Microsoft rilasciando versioni aggiornate e corrette di Flash Player, e AIR (runtime desktop ed SDK).

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

12 11 2014
Link copiato negli appunti