Il 14 ottobre 2025 sarà il giorno in cui tutte le installazioni di Windows 10 (qualsiasi versione ed edizione) riceveranno gli ultimi aggiornamenti di sicurezza. A partire dal mese successivo, come conferma la pagina dedicata al ciclo di vita dei sistemi operativi Microsoft, gli utenti di Windows 10 non riceveranno più alcuna patch correttiva.
Difficile che le installazioni di Windows 10 siano immediatamente esposte a rischi: già soltanto l’utilizzo del firewall sul router e del NAT (Network Address Translation), anche se quest’ultima non può essere considerata come una misura di sicurezza, evitano l’esposizione dei sistemi a falle wormable. In prospettiva, tuttavia, continuare a usare Windows 10 per lungo tempo potrebbe diventare problematico.
Non ci sono infatti solo le vulnerabilità wormable: alcuni problemi di sicurezza potrebbero essere sfruttati dagli aggressori usando codice “ad hoc”, invitando ad aprile file specifici o utilizzando altri espedienti. È quindi generalmente sconsigliato e sconsigliabile usare un sistema operativo che non può più ricevere gli aggiornamenti di sicurezza.
Come accaduto in passato, con ogni probabilità Microsoft continuerà (anche dopo metà ottobre 2025) a distribuire eccezionalmente patch di emergenza per sanare eventuali vulnerabilità di Windows 10 che potrebbero essere sfruttate per avviare attacchi su vasta scala. Tuttavia, l’unico modo per ricevere aggiornamenti ufficiali per Windows 10 consisterà nel sottoscrivere un abbonamento ESU (Extended Security Updates). A meno di non affidarsi a 0patch.
Lunga vita a Windows 10 con 0patch: perché
0patch è un progetto di Acros Security incentrato sullo sviluppo e la successiva distribuzione di patch non ufficiali per i sistemi Windows e per la suite Office. Il software permette di applicare patch di sicurezza senza riavviare il sistema: le correzioni sono infatti applicate “in-memory“, diventando immediatamente efficaci. Un approccio davvero vincente, anche e soprattutto per evitare inutili riavvii, soprattutto nel caso delle macchine Windows Server, impegnate nell’erogazione di applicazioni e servizi.
L’installazione delle patch “a caldo” è un concetto che da qualche tempo ha fortunatamente iniziato ad abbracciare anche Microsoft. Purtuttavia, l’hotpatching resta ancora di là da venire sui sistemi destinati a una platea di utenti essenzialmente consumer.
Gli sviluppatori di 0patch hanno rilasciato e continuano a rilasciare aggiornamenti per Windows 7, Windows Server 2008, Windows Server 2012, per sei versioni di Windows 10 ormai non più supportate e per le vecchie release della suite per l’ufficio: ad esempio, Office 2010 e Office 2013.
Dopo il 14 ottobre 2025, i tecnici di 0patch si impegnano a rendere disponibili patch correttive per Windows 10.
Quali aggiornamenti si riceveranno con 0patch
Il CEO di Acros Security, Mitja Kolsek, spiega che con 0patch si ricevono non soltanto correzioni per le vulnerabilità riconosciute da Microsoft. 0patch, infatti, è noto per la velocità con cui ha corretto problematiche 0-day ovvero lacune di sicurezza già sfruttate dai criminali informatici e per le quali ancora non esiste una correzione ufficiale del produttore.
Kolsek cita, ad esempio, gli aggiornamenti distribuiti attraverso 0patch per correggere alcuni 0-day devastanti. Si pensi a Follina (patch rilasciata 13 giorni prima di Microsoft), DogWalk (63 giorni prima di Microsoft), Microsoft Access Forced Authentication (66 giorni prima di Microsoft) ed EventLogCrasher (oltre 100 giorni prima di Microsoft). In media, 0patch mette a disposizione degli utenti aggiornamenti efficaci circa 50 giorni prima dell’azienda di Redmond.
0patch contiene inoltre molti aggiornamenti per le problematiche di sicurezza che Microsoft ha deciso di non correggere e interventi utili a sistemare software di terze parti. “Sebbene la maggior parte delle nostre patch riguardi il codice Microsoft, occasionalmente è necessario correggere anche una vulnerabilità in un prodotto non Microsoft, ad esempio quando un software vulnerabile è ampiamente utilizzato o il fornitore non produce una patch in modo tempestivo“, osserva Kolsek. Ecco quindi che 0patch può proteggere gli utenti dalle falle più gravi scoperte nella Java runtime, in Adobe Reader, Foxit Reader, 7-Zip, WinRAR, Zoom per Windows, Dropbox e NitroPDF.
I costi
Storicamente, 0patch ha rilasciato aggiornamenti di sicurezza gratuiti per le vulnerabilità non corrette da Microsoft. Nel caso di Windows 10, tuttavia, per essere certi di ricevere tutte le correzioni, è necessario stipulare un abbonamento che costa 25 o 35 euro circa a seconda che si sottoscriva il piano PRO (piccole aziende e privati) oppure quello Enterprise (organizzazioni di medie e grandi dimensioni, con gestione centralizzata). I prezzi sono annuali e per singola macchina.
L’alternativa, ricorda Kolsek, è appunto Microsoft ESU. Posto per i prezzi per gli utenti privati saranno svelati più avanti, al momento si sta che le imprese dovranno spendere 61 dollari nel primo anno, 122 dollari nel secondo anno e 244 dollari nel terzo anno per continuare a ricevere gli aggiornamenti di Windows 10 (questo per ogni singolo computer). Soltanto le scuole, le università e in generale le organizzazioni che si occupano di didattica, potranno godere del prezzo speciale di 7 dollari per tre anni.
“Scegliendo gli aggiornamenti ESU manterrete il consueto ciclo mensile di aggiornamento con riavvio del sistema“, osserva Kolsek. “Vi costerà solo 4 milioni di dollari se avete 10.000 computer nella vostra rete“. E presenta 0patch come un valido strumento per ottenere di più spendendo meno.
Quanto durerà il supporto di Windows 10
Con 0patch, Acros Security assicura il rilascio di patch di sicurezza per Windows 10 almeno fino al 2030 (quindi per 5 anni). L’azienda precisa comunque che il supporto potrebbe essere ulteriormente esteso, a seconda dell’interesse e della domanda degli utenti.
Sebbene sia 0patch PRO che 0patch Enterprise includano tutte le patch di sicurezza, il secondo integra la gestione centralizzata tramite 0patch Central, la possibilità di usare più utenti e ruoli, gruppi di computer, policy di patching basate sui gruppi, Single Sign-On e altre funzioni utili in azienda.