Windows 10 e Windows Server 2016 e 2019, da un lato, Adobe Experience Manager e Adobe Illustrator CC 2019 dall’altro. Diversi i sistemi operativi e i software per cui in questi giorni sono emerse vulnerabilità, ma fortunatamente sono anche arrivate le patch. Per quanto riguarda Windows, ad accorgersi del problema è stata addirittura la Nsa, la National Security Agency statunitense, grazie alla quale Microsoft ha potuto agire prontamente con il rilascio di una patch.
La patch risolve una vulnerabilità di spoofing, identificata come CVE-2020-0601, che permette agli autori di un attacco di sfruttare il modo in cui Windows CryptoAPI (Crypt32.dll) convalida i certificati Ecc (Elliptic Curve Cryptography). In parole meno tecniche, sui sistemi Windows 10 e Windows Server 2016 e 2019 questa vulnerabilità può essere utilizzata per poter firmare dei malware sfruttando certificati digitali contraffatti, facendo apparire come legittimo agli occhi dell’utente un codice software che invece è dannoso. La vulnerabilità può servire, inoltre, a realizzare attacchi man-in-the-middle.
La falla è piuttosto grave, quindi, ma a detta di Microsoft non sarebbero stati realizzati attacchi basati su questa vulnerabilità. Nel primo Patch Tuesday del 2020, in ogni caso, è arrivata la patch che risolve il problema, insieme agli ultimi aggiornamenti di sicurezza di Windows 7. Ultimi per davvero, nel senso che il supporto esteso per questa edizione del sistema operativo è ufficialmente terminato.
Per quanto riguarda i software di Adobe, invece, in Illustrator CC 2019, nella versione 24.0.2 per i sistemi Windows, sono stati rilevati cinque bug di corruzione della memoria (CVE-2020-3710, CVE-2020-3711, CVE-2020-3712, CVE-2020-3713 e CVE-2020-3714). Tutti di livello critico, potrebbero consentire l’esecuzione di codice arbitrario da remoto. Experience Manager ha invece quattro vulnerabilità nelle versioni 6.0 e 6.5 del software: due di esse (CVE-2019-16466 e CVE-2019-16467) permettono potenzialmente attacchi di Reflected Cross-Site Scripting, mentre le altre due (CVE-2019-16468 e CVE-2019-16469) possono causare problemi nell’interfaccia utente o attacchi di expression injection. Anche nel caso dei prodotti di Adobe vulnerabili, sono già disponibili le patch.