Patch Tuesday, Microsoft contro falle vecchie e nuove

Redmond ha rilasciato un corposo pacchetto di aggiornamenti, una lunga lista di update che prende in considerazione problemi emersi di recente come FREAK (sistemato anche da Apple) ma anche difetti vecchi di anni, di cui abusava Stuxnet

Roma – Il secondo martedì del mese è arrivato e così il Patch Tuesday che Microsoft ha organizzato per marzo 2015 , un “pacco” che include 14 bollettini di sicurezza cinque dei quali classificati con importanza critica. Dentro il nuovo Patch Tuesday c’è di tutto, persino un nuovo fix (definitivo) per una vulnerabilità vecchia di 5 anni e già usata dal malware Stuxnet.

I prodotti software coinvolti nell’aggiornamento cumulativo di marzo 2015 includono Windows, l’immancabile browser Internet Explorer, il pacchetto Office, SharePoint Server ed Exchange Server: fra tante, di particolare rilievo la patch indirizzata a chiudere la vulnerabilità nelle comunicazioni SSL/TLS nota come FREAK .

Windows era stato inizialmente escluso dalla lista dei software vulnerabili alla “degradazione” del livello di sicurezza delle comunicazioni cifrate (HTTPS), ma poi era stata la stessa Microsoft ad ammettere l’esistenza del problema anche sui suoi sistemi operativi per PC. Il Patch Tuesday aggiorna il componente SChannel di Windows eliminando (augurabilmente) il rischio di usare protocolli crittografici insicuri.

Un’altra vulnerabilità pericolosa chiusa dai bollettini di marzo è quella del Cross-Site Scripting universale scoperta in Internet Explorer il mese scorso, mentre un altro paio di bollettini critici chiudono due falle in (Windows) Explorer e Office potenzialmente sfruttabili per compromettere il sistema da remoto.

Un po’ a sorpresa, o forse no, l’Update Tuesday di marzo 2015 include anche un aggiornamento critico ( MS15-020 ) per una falla di esecuzione codice da remoto che si credeva chiusa già nel 2010, un problema nella gestione incorretta dei link ( .lnk ) da parte di Windows che era stato inizialmente scoperto come una delle quattro falle 0-day usate dal “super-malware” Stuxnet per infettare i PC Windows degli impianti nucleari iraniani.

Sempre parlando di FREAK, infine, aggiornamenti correttivi sono arrivati anche da Apple come promesso: il Security Update 2015-002 di Cupertino elimina vari bug negli OS dei sistemi Mac (da Mountain Lion a Yosemite) e iOS 8.2 si occupa di mettere in sicurezza gli utenti mobile del browser Safari.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • g x scrive:
    a livello di chip

    supportano il doppio account addirittura a livello di chip"a livello di chip" mi fa tanto nonno multimediale di mai dire gol :)https://www.youtube.com/watch?v=BN-irpEnA3kcomunque account multipli i BB li supportavano anche nel 2009, è più probabile che l'opzione sia stata disabilitata dalla policy.per cortesia scrivere gli articoli con contenuto tecnico decente e non "a livello Panorama"-gx
    • Ciccio scrive:
      Re: a livello di chip
      - Scritto da: g x
      comunque account multipli i BB li supportavano
      anche nel 2009, è più probabile che l'opzione sia
      stata disabilitata dalla
      policy.
      per cortesia scrivere gli articoli con contenuto
      tecnico decente e non "a livello
      Panorama"
      -gxIo mi ricordo che, tipo nel 2007 (poi non ho più avuto a che fare con i BB), i BB supportavano UN account in modalità "BES" (in ditta avevi un server "BES" che interfacciava i tuoi telefoni BB con il tuo server Exchange interno, per darti posta e calendario sincronizzati in tempo reale), più "n" (forse 10) account in modalità "BIS" (i server di BlackBerry -tipo in Canada- interfacciavano i tuoi telefoni BB con account di posta generici -cui accedevano tramite IMAP o POP- per darti una sincronizzazione della sola posta -senza calendario-, ad intervalli di alcuni minuti).
Chiudi i commenti