Come da qualche tempo a questa parte, anche il “patch day Microsoft” di agosto 2020 risulta particolarmente pesante.
I tecnici dell’azienda di Redmond hanno infatti rilasciato qualcosa come 261 aggiornamenti che nel complesso consentono di risolvere ben 120 vulnerabilità di sicurezza, un vero e proprio record.
Nel caso di Windows 10, sono stati rilasciati aggiornamenti cumulativi per tutte le versioni del sistema operativo ad oggi supportate (vedere questa pagina). Il pacchetto di aggiornamento è contraddistinto dall’identificativo KB4566782 nel caso di Windows 10 Aggiornamento di maggio 2020 (release 2004) mentre Windows 10 versioni 1909 e 1903 condividono lo stesso pacchetto KB4565351.
Aggiornamenti di sicurezza sono stati rilasciati per tutte le versioni di Windows.
Due sono le falle di sicurezza già sfruttate dai criminali informatici per lanciare attacchi: CVE-2020-1464 e CVE-2020-1380.
La prima consente di trarre in inganno Windows: facendo leva su file che mostrano una firma digitale apposta in modo improprio, si può fare in modo di superare le funzionalità di sicurezza. La seconda, invece, è una vulnerabilità scoperta nel motore di Internet Explorer 11 che può portare all’esecuzione di codice arbitrario con i privilegi più elevati.
A nulla conta che l’utente non utilizzi Internet Explorer, ormai un browser legacy anche per Microsoft: un eventuale codice malevolo che dovesse essere eseguito sulla macchina può disporre l’utilizzo del vecchio motore dello storico browser e causare danni sulla configurazione del sistema.
Particolarmente gravi le lacune di sicurezza individuate nel componente Media Foundation che potrebbero essere sfruttate per eseguire codice arbitrario sulla macchina della vittima semplicemente inducendo l’utente a visitare una pagina web malevola o ad aprire un file preparato “ad hoc”.
Ugualmente pericolosi i bug scoperti nel componente Microsoft Windows Codecs Library: in questo caso i sistemi interessati sono solamente quelli basati su Windows 10.
Per gli utenti delle varie versioni di Outlook, particolarmente critica è la falla CVE-2020-1483: un aggressore che inviasse un’email malevola e riuscisse a convincere la vittima ad aprire l’allegato malevolo, potrebbe eseguire codice arbitrario proprio sfruttando la falla del client di posta Microsoft.
La lista completa delle problematiche di sicurezza che sono state risolte con il “patch day” di agosto è consultabile in questa pagina.
Nell’articolo Windows Update: come gestire gli aggiornamenti abbiamo offerto qualche indicazioni utile per raffrontarsi correttamente con le patch Microsoft.
Gli utenti di Windows 10 possono installare gli aggiornamenti su richiesta anziché in automatico seguendo i consigli riportati nell’articolo Come disattivare gli aggiornamenti automatici in Windows 10.
Al solito è bene aspettare almeno qualche giorno prima di installare gli aggiornamenti di questo mese, soprattutto sui sistemi che si usano per scopi produttivi. È però bene tenere alta la guardia evitando di compiere azioni che potrebbero mettere a rischio la sicurezza dei propri sistemi e dei dati in essi conservati.
Se si volessero risolvere singole problematiche posticipando l’installazione di tutti gli aggiornamenti, si può annotare il numero posto nella colonna Article (nella scheda descrittiva di ciascuna patch) quindi digitarlo nella casella di ricerca del Microsoft Update Catalog. Si potrà eventualmente scaricare e installare il singolo aggiornamento correttivo.