Aprile si sta rivelando un mese importante per Windows. Dopo l’interruzione ufficiale del supporto a Vista, largamente annunciata, è partito in queste ore il rollout del Creators Update per i computer più recenti, a cui si è aggiunto però anche il pacchetto di aggiornamenti mensile del Patch Tuesday. Rimaniamo su quest’ultimo, che è la vera novità, in quanto già si sapeva che l’upgrade di Windows 10 sarebbe entrato in fase di distribuzione l’11 aprile. Innanzitutto, i nuovi bug fix sviluppati da Microsoft risolvono la vulnerabilità presente in Word di cui vi avevamo parlato un paio di giorni fa, che permetteva a un hacker di prendere il controllo del computer da remoto sfruttando una falla nella tecnologia Object Linking and Embedding (Ole).
Altri servizi e applicazioni coinvolti nel Patch Tuesday sono Hyper-V, l’hypervisor della casa di Redmond, e Outlook. Nel primo caso un attaccante potrebbe sfruttare il baco per appropriarsi dei server sottostanti e per prelevare informazioni sensibili, mentre nel secondo un difetto nel codice del client di posta elettronica potrebbe essere utilizzato per infettare un Pc con del malware semplicemente mostrando alla vittima l’anteprima di una mail.
Ma l’elenco di software coinvolti nell’aggiornamento include anche Internet Explorer, Edge, Visual Studio for Mac, .Net Framework, Silverlight e Adobe Flash Player (e poteva forse mancare? L’update risolve ben 56 falle critiche) per diversi ecosistemi, fra cui Windows 7, 8.1, Rt 8.1, Windows Server 2008 e 2012. Come sottolineato da The Register, però, per la prima volta Microsoft ha deciso di cambiare le carte in tavola preferendo un approccio un po’ più criptico nella descrizione dei singoli bug e delle relative patch.
“Le persone normali saranno probabilmente contente di installare queste modifiche il prima possibile, in modo silenzioso e automatico e senza preoccuparsi dei dettagli. I professionisti It, però, insieme agli utenti più curiosi o a quelli che vogliono testare le patch prima di distribuirle al proprio interno, dovranno rovistare nella tabella disponibile sul portale”, cercando di orientarsi in autonomia.
“Nessuno di questi abbagli di programmazione è però menzionato nel sommario ‘Pr-friendly’ pubblicato da Microsoft”. L’azienda ha infatti messo a disposizione il portale Security Update Guide, che va a sostituire come fonte primaria di informazioni la storica Technet.
Redmond inoltre non specifica che tre bug, quelli che colpiscono Word-Wordpad, Internet Explorer e Office sono già sfruttati dagli hacker per cercare di diffondere malware e, in particolare, Dridex. La vulnerabilità numero Cve-2017-2605, che riguarda la suite di produttività, non ha infine alcuna risoluzione: Microsoft si è limitata a disattivare di default un filtro Postscript per essere certi che l’exploit non venga attivato.