Come da programma, ieri Microsoft ha reso pubbliche le patch per le due
vulnerabilità zero day di Windows 10, Windows Server 2012 e altre versioni del sistema operativo. Le falle sono quelle di cui
avevamo parlato qualche settimana addietro e che sfruttavano la Adobe Type Manager Library (atmfd.dll) di Windows per eseguire codice arbitrario in modalità remota.
Vale la pena sottolineare che tali falle hanno preso di mira in modo specifico i sistemi Windows 7 e
Windows Server 2008. Il
supporto per questi sistemi operativi tuttavia è terminato. Riceveranno la patch
solo i clienti che dispongono di una licenza ESU.
Insieme a queste gravi vulnerabilità, identificate come CVE-2020-1020 e CVE-2020-0938,
Microsoft ha corretto 113 vulnerabilità. Di queste 17 erano critiche e 96 erano definite importanti. Fra le maggiori criticità risolte c'è la CVE-2020-0935, che riguarda i
privilegi di accesso per OneDrive per desktop. L'app gestiva in modo errato i collegamenti. In realtà i rischi che venisse sfruttata erano bassi perché, come sottolinea Microsoft, "la maggior parte dei clienti è stata protetta dal programma di aggiornamento OneDrive".
Altra falla chiusa è quella identificata dalla sigla CVE-2020-0981. Riguarda solo Windows 10 versione 1903 e successive, ma mina una
funzionalità di sicurezza token di Windows che può consentire fughe dalla sandbox. Altra criticità su cui puntare l'attenzione è la CVE-2020-0993. Corregge un errore DoS nel servizio DNS di Windows, che influenza i sistemi client. Non consente l'esecuzione del codice, ma un attaccante potrebbe creare seri danni se la sfruttasse. Gli amministratori di rete dovrebbero prestarvi particolare attenzione.
Microsoft non è stata l'unica ieri a diffondere delle patch. Fra le priorità ci sono le patch pubblicate da Adobe. Riguardano gli aggiornamenti di sicurezza per ColdFusion (2016 e 2018) per tutte le piattaforme, After Effects (per Windows e macOS) e Digital Editions per Windows. Nessuna riguarda vulnerabilità critiche, ma potrebbero portare alla divulgazione di informazioni.
Approfittiamo infine per ricordare che anche
Oracle sta per pubblicare le patch di aprile. Secondo
l'annuncio pre-release, risolverà 405 vulnerabilità di sicurezza in un'ampia varietà di prodotti. Consigliamo di tenere d'occhio gli aggiornamenti del produttore.