Come annunciato in questo recente advisory , nella serata di oggi Microsoft pubblicherà due bollettini straordinari di sicurezza: uno per risolvere un serio problema di sicurezza nella famiglia di prodotti Visual Studio, un altro per rafforzare le difese di Internet Explorer ed evitare che questo possa essere utilizzato come vettore di attacco per le succitate debolezze. Il bollettino relativo a IE comprende tuttavia anche patch non correlate a quelle di Visual Studio.
Nel momento in cui si scrive non si conoscono ancora i dettagli delle vulnerabilità, ma un portavoce di Microsoft ha riferito che il bug è contenuto in un componente di Windows (probabilmente una libreria dinamica) utilizzato in un ampio numero di applicazioni, sia Microsoft che di terze parti.
Accade assai di rado che Microsoft distribuisca delle patch di sicurezza al di fuori dal suo tradizionale ciclo mensile dei rilasci: quando lo fa si tratta generalmente di problemi che, oltre ad essere molto seri, rischiano di finire – o sono già finiti – nel mirino dei cracker.
“Vista la tipologia di bollettini si può ragionevolmente intuire che la serietà del problema sia direttamente connessa all’ampiezza dell’impatto di queste vulnerabilità, ben oltre i prodotti Microsoft, estesa alla particolare tipologia di applicazioni che, sviluppate tramite Visual Studio, possano aver redistribuito il componente vulnerabile: è per questo che si richiama l’attenzione degli sviluppatori su questo rilascio straordinario, essi dovranno valutare se le loro applicazioni sono interessate da questo problema e dovranno attrezzarsi per aggiornarle di conseguenza”, spiega in non si conoscono ancora i dettagli delle vulnerabilità, ma un portavoce di Microsoft questo post Feliciano Intini, chief security advisor di Microsoft Italia. “È importante sottolineare come i clienti che abbiano i sistemi perfettamente aggiornati con tutti gli aggiornamenti di sicurezza siano protetti rispetto agli attacchi noti relativi a queste vulnerabilità”.
Intini ha poi ricordato come l’ultimo aggiornamento di sicurezza out-of-band (OOB), ossia al di fuori del tradizionale appuntamento del secondo martedì di ogni mese, risalga al 23 ottobre 2008: tale bollettino correggeva alcune falle che, di lì a poco, sarebbero state sfruttate dal famigerato worm Conficker per infettare milioni di sistemi in tutto il mondo.
Alessandro Del Rosso