Microsoft: prossima patch critica per Windows


Dopo i 17 bugfix rilasciati ad aprile, la Microsoft, nella prossima settimana rilascerà due bollettini, uno per Windows considerato critico ed un altro per Office.

I software interessati all’aggiornamento di sicurezza saranno Windows Server 2003, Windows Server 2008, Office XP, Office 2003, Office 2007, Office 2004 perMac e Office 2008 per Mac.

La Microsoft ha poi annunciato in un blog di aver intenzione di cambiare la guida che spiega agli utenti come possa essere sfruttata da malintenzionati una vulnerabilità.

Il cosidetto Exploitability Index: rilasciato per la prima volta nell’ottobre 2008, è un sistema di valutazione che aiuta gli utenti a identificare la probabiltà che una vulnerabilità potrebbe essere sfruttata entro i primi 30 giorni dal rilascio dell’aggiornamento di sicurezza.

Ogni valutazione di vulnerabilità si basa su esami approfonditi effettuati da parte dal team di ingegneri MSRC, in stretta cooperazione con un certo numero di partner chiave.

Quindi i punteggi attribuiti alla probabilità che un exploit possa essere sfruttato da uno sviluppatore esperto sono qualitativi.

Praticamente la guida verrà divisa in due parti: in una verranno date informazioni dettagliate e punteggi riguardo ai rischi che la vulnerabilità potrebbe arrecare alla versione più recente di Windows, mentre per tutte le altre versioni del software verrà dato un punteggio complessivo.

Questo perchè, ad esempio, in Windows 7 è presente Address Space Layout Randomization (ASLR), una tecnica che riposiziona i frammenti di codice in memoria e rende più difficile per uno sviluppatore malintenzionato scrivere un exploit in grado di fare danni.

Tale tecnica, però non è presente di default, ad esempio su XP, ecco perchè è necessario dare punteggi differenziati alle probabilità che le vulnerabilità possano essere convenientemente sfruttate, perchè un punteggio complessivo non rispecchierebbe il reale rischio corso dagli utenti di Windows 7 o da quelli con versioni precedenti.


Commenti: Vedi tutto

Lascia una risposta