Microsoft risolve una vulnerabilità in Windows che è figlia dell’attacco ad Hacking Team avvenuto nei giorni scorsi. Nel bollettino pubblicato ieri sera i tecnici di Microsoft spiegano che la lacuna di sicurezza potrebbe essere sfruttata dagli aggressori per eseguire codice dannoso sul sistema degli utenti.
Sulle installazioni di Windows prive dell’aggiornamento MS15-078 appena rilasciato, tentando l’apertura di un documento malevolo o visitando una pagina web preparata “ad arte”, potrebbe verificarsi l’esecuzione di codice in modalità remota.
La vulnerabilità riguarda tutte le versioni di Windows supportate da Microsoft ed è presente anche nella versione di anteprima di Windows 10.
Solitamente Microsoft rilascia gli aggiornamenti di sicurezza il secondo martedì di ogni mese. La gravità della falla ed il fatto che si tratti ormai di un problema noto, emerso dopo la sottrazione dei dati dell’italiana Hacking Team, ha spinto i tecnici della società di Redmond a bruciare le tappe e ad optare per un rilascio out-of-band.
Chi, per vari motivi, si trovasse ancora ad utilizzare una versione di Windows non più supportata da Microsoft (ad esempio Windows Server 2003, recentemente ritirato in via definitiva; Fine supporto di Windows Server 2003 più vicino) – per la quale non è stata quindi rilasciata una patch – può mettere in pratica l’intervento pubblicato in questa pagina, in corrispondenza della sezione Workarounds.
La lacuna di sicurezza è insita nella libreria Windows Adobe Type Manager che non effettua una corretta gestione delle fonti di carattere OpenType. L’aggiornamento odierno sostituisce la patch MS15-077 rilasciata appena qualche giorno fa.