Patch day Microsoft di marzo 2019: quali vulnerabilità sono state corrette

Microsoft ha risolto la lacuna di sicurezza che avrebbe potuto essere utilizzata, insieme a un problema scoperto in Chrome, per eseguire codice malevolo semplicemente visitando una pagina web. Tante le correzioni che riguardano i sistemi Windows client. Rilasciati anche due aggiornamenti per Windows 7 e Windows Server 2008 R2 che permettono di continuare ad assicurarsi la corretta ricezione delle patch mensili dopo il 16 luglio 2019.

Questo mese Microsoft ha pubblicato e iniziato a distribuire attraverso Windows Update una serie di aggiornamenti correttivi che, complessivamente, permettono di risolvere 64 vulnerabilità in Windows, Edge, Internet Explorer, Office, Hyper-V, Visual Studio e in altri prodotti software dell’azienda di Redmond.

La lista delle patch Microsoft di marzo 2019 è consultabile cliccando qui: per ciascuna di esse, nella colonna Disclosed, viene indicato se i dettagli sul problema di sicurezza sono pubblicamente noti; nella colonna Exploited – cosa ancora più grave – se la falla è al momento sfruttata per sferrare attacchi. Le ultime colonne (Severity, CVSS Base e CVSS Temporal) indicano il grado di gravità del problema di sicurezza che viene corretto.


Questa volta sono tante le vulnerabilità che vengono sanate nei browser Microsoft (Edge e Internet Explorer), nel motore di scripting utilizzato in Windows e nel parser MSXML parte integrante di Microsoft XML Core Services.

Microsoft ha poi risolto la falla CVE-2019-0808, segnalata dal team di sviluppo di Chrome. Come spiegato nell’articolo Brutta vulnerabilità in Chrome: aggiornare subito per evitare l’esecuzione di codice dannoso, tale vulnerabilità – individuata nel kernel di Windows 7 – avrebbe potuto consentire a un aggressore di eseguire codice dannoso semplicemente persuadendo l’utente a visitare una pagina web malevola.
Le correzioni sono state applicate anche alle versioni più recenti di Windows anche se il problema è in questo caso meno grave, grazie alle tecnologie per la protezione del sistema che sono state introdotte in Windows 8.1 e soprattutto in Windows 10.

Una serie di aggiornamenti (CVE-2019-0697, CVE-2019-0698 e CVE-2019-0726) consentono di evitare che, al momento della richiesta di un indirizzo IP da parte del sistema Windows client, venga ad esso inviato un pacchetto dati malevolo in grado di provocare l’esecuzione di codice arbitrario.

Nell’articolo Windows Update: come gestire gli aggiornamenti abbiamo presentato quelle che secondo noi sono le migliori tattiche per la gestione delle patch rilasciate mensilmente da Microsoft.

Il sito Patch Tuesday Dashboard, continuamente aggiornato, visualizza l’elenco delle patch Microsoft che richiedono maggiore attenzione.

È bene evidenziare che gli utenti di Windows 7 e Windows Server 2008 R2 devono installare prima possibile gli aggiornamenti KB4490628 e KB4474419 (vedere questo bollettino Microsoft): essi consentono di attivare il supporto per i certificati firmati usando l’algoritmo SHA-2.

Dal 16 luglio 2019 gli aggiornamenti Microsoft saranno firmati esclusivamente ricorrendo all’algoritmo SHA-2: ciò significa che gli utenti di Windows 7 e Windows Server 2008 R2 che non installeranno gli aggiornamenti KB4490628 e KB4474419 non riceveranno più le patch di sicurezza.

Ti consigliamo anche

Link copiato negli appunti