Ottanta patch di sicurezza per 15 prodotti di Microsoft: il piatto del Patch Tuesday di settembre è incredibilmente ricco, il che equivale a dire che erano davvero numerose le vulnerabilità scoperte in Windows, Internet Explorer, Edge, ChakraCore, Office and Microsoft Office Services and Web Apps, Skype for Business and Microsoft Lync, Visual Studio, .NET Framework, Exchange Server, Microsoft Yammer e Team Foundation Server. Il problema però non sta tanto nel numero complessivo delle patch, quanto piuttosto nel fatto che, sul totale delle ottanta vulnerabilità, ben 17 fossero classificate come “critiche” e 62 come “importanti”. Una discreta parte del lavoro di scoperta (18 bug) si deve ai contributori della Zero Day Iniatiative, cioè il programma di ricompense creato da Trend Micro.
Si raccomanda, dunque, di installare al più presto gli aggiornamenti, specie nel caso dei problemi critici. La vulnerabiltà CVE-2019-1215, per esempio, è relativa al Winsock2 Integrated File System Layer (ws2ifsl.sys) e permette a un potenziale attaccante di scalare dal livello “utente” fino a quello di “amministratore”, per poi sfruttare come meglio crede i privilegi ottenuti. Tra l’altro Microsoft ammette che questo bug è già stato sfruttato per attaccare vecchie e nuove versioni di Windows.
Un altro bug già sfruttato (ma solo su vecchie versioni di Windows, a detta di Microsoft) è quello identificato dalla sigla CVE-2019-1214: anche in questo caso la falla permette di scalare fino ai privilegi di amministratore, ma a differenza del precedente il problema riguarda il Common Log File System (CLFS) Driver. La lista completa delle altre vulnerabilità critiche è descritta sul sito della Zero Day Iniziative.