Microsoft, Patch Tuesday di marzo

Microsoft ha in questi giorni avviato la distribuzione delle patch mensili di marzo 2018 , una serie di aggiornamenti pensati per risolvere decine di vulnerabilità di sicurezza scovate all’interno di Windows, i browser Web, le suite di produttività e molti altri prodotti software commercializzati dal colosso statunitense.

In particolare si parla di aggiornamenti per 74 diverse vulnerabilità , falle la cui esistenza è stata verificata in Internet Explorer, Microsoft Edge, Windows (tutte le versioni ancora supportate, incluso Windows XP Embedded), Exchange Server, ASP.NET Core,.NET Core, PowerShell Core, il layout engine ChakraCore, Office, Office Services e Web Apps.

Le patch non riguardano falle di tipo 0-day per cui sono già noti casi di attacco in corso, sebbene per due falle sia già in circolazione il codice di exploit: CVE-2018-0808 è un bug di tipo DoS sfruttabile per mandare in crash un server remoto ASP.NET, mentre CVE-2018-0940 è un bug di Exchange sfruttabile via e-mail.

Le falle più pericolose includono nove diversi casi di possibile esecuzione di codice (malevolo) da remoto per mezzo lo script engine Chakra del browser Edge, un caso di elevazione di privilegi in Windows Installer per l’installazione di librerie malevole, tredici falle nel kernel di Windows.

Anche Adobe ha naturalmente distribuito i suoi aggiornamenti in sincronia con quelli di Microsoft, correggendo due bug critici in Flash Player sfruttabili per eseguire codice da remoto. Da Redmond sono infine arrivati nuovi aggiornamenti al microcodice per i chip Intel contro Meltdown e Spectre, con gli update che questa volta riguardano le CPU Intel Core di sesta, (Skylake) settima (Kaby Lake) e ottava generazione (Coffee Lake) a patto di far girare l’ultima versione aggiornata di Windows 10 (1709 o Fall Creators Update).

Alfonso Maruccia