Security managementSicurezza

Patch tuesday impegnativo per Microsoft: 134 vulnerabilità risolte

Silicon è il sito di tecnologia dedicato alle strategie delle aziende IT che cavalcano i nuovi trend di mercato, dal cloud computing alla virtualizzazione, dal mobile al byod. Analisi, approfondimenti, prove di app e prodotti, oltre alle notizie quotidiane, fanno di Silicon l’appuntamento giornaliero per i manager che vogliono capire come la tecnologia possa aiutarli nel fare business. Su queste tematiche Silicon realizza interviste agli attori del mercato e reportage dai principali eventi, sia in Italia sia all’estero.

Aver saltato il patch tuesday di febbraio ha reso quello di marzo molto più corposo, con ben 17 avvisi di sicurezza

Il “patch tuesday” di marzo è stato particolarmente impegnativo per Microsoft, che ha pubblicato qualcosa come ben 17 bollettini di sicurezza per nel complesso un totale di 134 vulnerabilità riguardanti prodotti che vanno da Windows al browser Edge, da Office a Skype, da Exchange al solito Flash Player. Si tratta di un numero di patch molto elevato anche perché Microsoft ha saltato il patch tuesday di febbraio, il che ha reso ancora più pericolose – in questo mese passato senza patch – alcune delle vulnerabilità corrette ora.

Gli IT manager devono badare in particolare alle segnalazioni siglate MS17-013 e MS17-012. La prima riguarda la possibilità di eseguire codice da remoto attraverso una pagina web o un documento creati ad hoc. È una vulnerabilità “zero day” che è stata già segnalata come ampiamente sfruttata online. Il bollettino MS17-012 riguarda invece una vulnerabilità del protocollo SMB che ha già fatto notizia in relazione anche al ritardo di Microsoft nel correggerla.

microsoft-securityMolte altre segnalazioni di questa raffica di patch sono considerate critiche o comunque importanti. Lato server si segnalano le vulnerabilità legate a due elementi che sono direttamente “affacciati” al web: IIS e Outlook Web Access. Nel primo caso il rischio è quello di permettere attacchi di cross-site scripting, nel secondo si tratta invece di attacchi di script/content injection. Sempre lato server c’è da tenere d’occhio una vulnerabilità di Hyper-V, che potrebbe teoricamente portare all’esecuzione di codice arbitrario, e una per gli Active Directory Federation Services.

Lato desktop la priorità va prevedibilmente alle vulnerabilità dei browser Edge e Internet Explorer: alcune erano già note e questo rende il loro panchina più urgente. Per lo stesso motivo conviene intervenire velocemente anche sulle vulnerabilità segnalate per Microsoft Office.

Da notare che Microsoft ha pubblicato i dettagli riguardanti le patch nella forma tradizionale del bollettino, contrariamente a quanto aveva dichiarato di voler fare. Resta sempre sullo sfondo, però, il passaggio a una nuova forma di comunicazione.