Microsoft ha raggiunto un record negli aggiornamenti di sicurezza, risolvendo 147 vulnerabilità in Windows e software correlati nell’aggiornamento della Patch di Aprile.
Entrare in contatto con il fenomeno degli aggiornamenti di Patch Tuesday di Microsoft può far sentire come se stessimo attraversando una rara eclisse solare, data la frequenza con la quale ci si imbatte in questi eventi. Eppure, in termini di vulnerabilità risolte durante questi aggiornamenti, Microsoft ha eclissato tutti i record precedenti nel mese scorso, eliminando ben 147 difetti in Windows e software correlati.
Esatto, Microsoft ha rilasciato aggiornamenti per risolvere 147 lacune di sicurezza in Windows, Office, Azure, .NET Framework, Visual Studio, SQL Server, Server DNS, Windows Defender, Bitlocker e Windows Secure Boot.
“Questa è la release più numerosa di Microsoft di quest’anno e la più grande dal 2017”, ha commentato Dustin Childs, di Trend Micro’s Zero Day Initiative (ZDI). “Per quanto ne so, è la più grande release di Patch Tuesday di Microsoft di tutti i tempi.”
Il sostanziale numero di patch di questo mese è mitigato dalla mediocrità della gravità di molte delle vulnerabilità. Solamente tre delle vulnerabilità di Aprile hanno ricevuto da Microsoft la più grave classificazione di “critico”, il che significa che possono essere utilizzate da malware o da malintenzionati per prendere il controllo remoto di sistemi non aggiornati senza l’ausilio degli utenti.
La maggior parte delle lacune che Microsoft ritiene “più inclini ad essere sfruttate” in questo mese sono classificate come “importanti”, che di solito coinvolgono bug che richiedono una maggiore interazione degli utenti ma che tuttavia possono determinare un’elusione della sicurezza del sistema, un compromesso del sistema e il furto di risorse critiche.
Abbiamo anche visto le conseguenze di alcune delle vulnerabilità interessate agli aggiornamenti di Aprile, come quella che coinvolge Outlook per Windows, che ha portato a falle di spoofing descritte come semplici da sfruttare, e una vulnerabilità del backend di ricerca di Azure dovuta a credenziali codificate in modo fisso.
Anche le variazioni implementate alla Windows SmartScreen desta interesse, una tecnologia progettata da Microsoft per fornire protezioni aggiuntive agli utenti finali contro attacchi di phishing e malware. Infine, degno di nota è l’aggiornamento che riguarda due dozzine di vulernabilità in Windows Secure Boot.
A margine di questi aggiornamenti critici di sicurezza, Adobe ha rilasciato nove patch che affrontano almeno due dozzine di vulnerabilità in una serie di prodotti software, tra cui Adobe After Effects, Photoshop, Commerce, InDesign, Experience Manager, Media Encoder, Bridge, Illustrator e Adobe Animate.