Skip to main content

Microsoft pone rimedio a oltre 100 falle, comprese due zero-days

(Image credit: Shutterstock / tanuha2001)

Nel martedì del mese di agosto dedicato alle patch, Microsoft ha reso disponibile un aggiornamento che va ad effettuare il patching di ben 120 vulnerabilità, comprese due ad altissima criticità. Le falle tappate da questo importante aggiornamento hanno riguardato 13 distinti prodotti, tra cui Windows 10, Edge, Office, Internet Explorer e altri.

A 17 delle vulnerabilità era stato assegnato il massimo punteggio di gravità di 10/10, secondo il Common Vulnerability Scoring System (CVSS), mentre due sono state classificate come zero-day, ossia gli hacker sono stati in grado di sfruttarle prima che Microsoft riuscisse a porvi rimedio.

L'elevato volume di vulnerabilità affrontate nel Patch Tuesday di agosto 2020 lo rende il terzo più grande in assoluto, dietro solo a giugno 2020 con 126 vulnerabilità e luglio 2020 con 123 vulnerabilità.

Il Microsoft Patch Tuesday di agosto 2020

La prima delle due vulnerabilità zero-day a cui Microsoft ha posto rimedio permetteva di effettuare un attacco spoofing al sistema operativo Windows, e potrebbe venire utilizzata per "aggirare le funzionalità di sicurezza e caricare file firmati in maniera impropria". "In un ipotetico scenario di attacco, un utente malintenzionato potrebbe aggirare le funzionalità di sicurezza poste a impedire il caricamento di file firmati in maniera impropria. L'aggiornamento risolve la vulnerabilità correggendo il modo in cui Windows convalida le firme dei file", ha spiegato Microsoft. La seconda vulnerabilità zero-day era presente nel browser web Internet Explorer 11 ed è stata descritta dal gigante di Redmond come “critica”. Divulgata dalla società di sicurezza Kaspersky, identifica un problema di sicurezza nel motore di scripting del browser che potrebbe essere utilizzato per eseguire codice malevolo in da remoto sul dispositivo di destinazione.

“La vulnerabilità potrebbe danneggiare la memoria in modo tale che un malintenzionato possa eseguire codice arbitrario nel contesto dell'utente corrente. Il malintenzionato che ha sfruttato con successo la vulnerabilità potrebbe ottenere gli stessi diritti utente dell'utente corrente", si legge nel rapporto sulla vulnerabilità. Ciò potrebbe essere particolarmente problematico se il malintenzionato dovesse prendere di mira un utente con privilegi amministrativi, consentendo l’installazione di software sul sistema, di modificare o eliminare dati e di creare nuovi account con privilegi di accesso completo. Per mitigare le vulnerabilità zero-day e le altre 118 risolte con la patch di agosto 2020 si consiglia agli utenti di eseguire l'aggiornamento alle versioni più recenti di tutti i prodotti Microsoft. L'elenco completo delle vulnerabilità corrette lo potete trovare qui.