Microsoft, a ottobre un Patch Tuesday trafficato.

Scritto da Guido Sintoni.

Non sono tanto le venti vulnerabilità complessive, corrette con il ricorso a undici patch, a rappresentare la novità nel consueto Patch Tuesday di Microsoft: la tornata di ottobre per gli aggiornamenti in chiave di sicurezza presenta infatti l’Exploitability Index.

Quest’ultimo, al debutto nel Security Bulletin Summary del mese, è un indice che definisce la probabilità di comparsa di un exploit legato alla specifica vulnerabilità. Microsoft ha dedicato una spiegazione dettagliata al nuovo strumento: i valori previsti sono tre. Il primo definisce “consistente” l’evento di un exploit; il secondo “inconsistente” e il terzo ritiene improbabile lo sviluppo di un exploit funzionante.

Per Steve Adegbite di Microsoft Security Response Center, “L’Exploitability Index è un modo per dare informazioni utili ai clienti nel processo di gestione del rischio”. In pratica, è la prima evoluzione da quando, anni fa, Microsoft ha deciso di distribuire i propri aggiornamenti su base periodica: si è resa evidentemente necessaria perché spesso gli exploit - anche i temuti zero day - si sono manifestati con frequenza, e a volte pochi giorni dopo il ciclo di patch pianificato.

Tornando al Patch Tuesday di ottobre, degli undici bollettini quattro sono “critici”: correggono la possibilità di esecuzione di codice remoto in Internet Explorer (MS08-058), Active Directory ( MS08-060 ), nel servizio Rpc di Host Integration Server ( MS08-059 ) e in Excel (MS08-057 ), riguardando tanto i desktop quanto i server di casa Microsoft.

La palma della patch più complessa spetta a quella che riguarda Internet Explorer: copre cinque vulnerabilità che possono essere sfruttate visualizzando una pagina Web maligna. Due di esse - che prestano il fianco ad attacchi basati sul cross-domain scripting - sono ottimi candidati allo sviluppo di exploit, valutati al massimo livello dall’Exploitability Index. Ma anche quella relativa ad Excel non scherza: elimina tre bug, uno dei quali - diciamo così, in attesa di una tassonomia dalla divisione italiana di Microsoft - “seriamente candidato all’exploit”.

Dei bollettini rimanenti, sei sono “importanti“: riguardano vari componenti di sistema, tra cui il kernel di Windows. L’undicesimo e l’ultimo bollettino - il solo ad impatto “moderato” - tocca Office ed è relativo a una possibile esposizione di dati sensibili. In queste ore, gli strumenti per l’aggiornamento automatico di Windows e dei software Microsoft stanno distribuendo le correzioni ai sistemi su cui sono installati; il penultimo appuntamento del 2008 in tema di Patch Tuesday è per martedì 11 novembre. Gli utenti italiani, come di consueto, ne vedranno gli effetti con alcune ore di ritardo.

Guido Sintoni.