Punti chiave
Falle in Microsoft Windows e non solo hanno costretto Redmond a rilasciare un corposo aggiornamento di sicurezza volto a coprire delle importanti vulnerabilità in diversi prodotti largamente utilizzati come il sistema Windows, Internet Explorer e il nuovo Browser Edge, il pacchetto Microsoft Office, Skype for business e Silverlight.
Falle in Microsoft Windows, Internet Explorer, Edge e Office
La prima vulnerabilità coinvolge direttamente il codice sorgente, il kernel di Windows. In particolare un malintenzionato con la possibilità di accedere al sistema, sarebbe in grado di eseguire del codice malevolo e installare programmi, manipolare i dati, o creare nuovi privilegi e nuovi profili senza autorizzazione. La vulnerabilità è stata registrata a seguito della segnalazione di alcuni ricercatori e si è avuta conferma che è stata concretamente utilizzata da alcuni pirati informatici.
Una parte veramente importante di correzioni riguarda però i due browser di Microsoft. Il più datato Internet Explorer ha corretto 30 vulnerabilità, alcune delle quali riguardavano una errata gestione della memoria, altre coinvolgevano il meccanismo di verifica dei dati, un altro ancora permetteva di ottenere privilegi come amministratore di sistema.
Ma anche il neonato browser Edge ha dovuto aggiornare il proprio codice: per lui 15 problemi di sicurezza, 11 presenti anche in Explorer mentre altri 4 esclusivamente presenti nel prodotto più recente di casa Microsoft per la navigazione sul web.
Alcuni esperti hanno comunque notato come Edge, la cui percentuale di diffusione sta rapidamente salendo grazie alla diffusione di massa di Windows 10, sia finora abbastanza sicuro dal punto di vista delle prestazioni e che non abbia ancora incontrato una vulnerabilità di importanza rilevante.
Un’errata gestione della memoria è uno dei problemi che riguarda il pacchetto Microsoft Office, anche questa falla concretamente utilizzata dagli hacker, come conferma Microsoft. In questo caso al pirata informatico bastava inviare un documento appositamente creato il quale, se visualizzato da un utente con privilegi di amministrazione, permetteva di prendere il totale controllo del sistema.
Falle anche nei server Windows, Skype for Business e Silverlight
Altro grave problema riguarda i server Windows configurati per essere utilizzati come server DNS, dedicati cioè alla attribuzione dei nomi corrispondenti i domini del web. In particolare la vulnerabilità permetteva di prendere il controllo del server e di eseguire un attacco da remoto senza necessità di ottenere le password di amministrazione e senza alcuna soluzione.
Altre correzioni minori riguardano il .NET framework, l’applicazione Skype for business e Silverlight, il prodotto per la riproduzione di elementi multimediali. In tutti questi casi le vulnerabilità permettevano di eseguire codice malevolo nel momento in cui la vittima apriva un documento appositamente creato o visitava una pagina che conteneva dei caratteri nascosti.
A questo riguardo la Core Security’s Kuzma ha lanciato una critica nei confronti di Microsoft facendo notare come la gestione e l’elaborazione dei caratteri durante la visualizzazione delle pagine web sia eseguita in una zona troppo delicata e profonda del sistema operativo, aprendo la porta ad una serie di vulnerabilità e di pericoli assolutamente sproporzionati.
Altre correzioni minori per Windows Media Center, che poteva essere attaccato tramite dei file multimediali malevoli per i quali il risultato poteva portare alla esecuzione di codice dannoso.
Nel frattempo, diversi esperti di sicurezza come wkandek della Qualys, iniziano a notare i metodi forse discutibili con cui Microsoft sta incoraggiando gli utenti ad aggiornare a Windows 10: in particolare ci sarebbe una raccolta e un utilizzo dei dati abbastanza disinvolto, soprattutto perché abilitato senza la richiesta di un preventivo consenso. È chiaro che appare necessario approfondire le metodologie con cui l’azienda di Redmond sta diffondendo il suo sistema operativo.
Microsoft ha anche informato gli utenti di avere inavvertitamente rilasciato delle chiavi di cifratura necessarie per far funzionare un certificato di sicurezza in uso a tutti gli utenti della Xbox. In questo caso il certificato è stato revocato per prevenire un utilizzo scorretto da parte di chiunque, e l’azienda ha confermato che fino al momento attuale non sembra che la falla non sia stata utilizzata da alcun pirata informatico.
Sulla falsariga di Microsoft, anche Adobe ha rilasciato nel secondo martedì del mese, 78 correzioni per Flash Player, i suo prodotto per la riproduzione di elementi multimediali, segnalando però che allo stato attuale non risulta alcun utilizzo concreto di queste falle da parte di pirati informatici.