Software

Microsoft Edge riceve i suoi primi aggiornamenti critici

Rilasciato poco più di un mese fa, il nuovo browser Microsoft Edge ha ricevuto la sua prima serie di patch di sicurezza critiche. Come parte del suo ciclo mensile di aggiornamenti di sicurezza, colloquialmente noto come Patch Tuesday, Microsoft ha rilasciato il bollettino critico MS15-05, con quattro patch che coprono le vulnerabilità del browser di Windows 10, Microsoft Edge. Nel complesso questo mese Microsoft ha pubblicato 12 bollettini che coprono 56 vulnerabilità. Cinque di essi sono stati considerati come critici, dunque dovrebbero essere affrontati al più presto possibile.

In aggiunta a Edge, le patch di questo mese affrontano problemi di Internet Explorer, Windows, Office, Exchange, .NET Framework, la macchina virtuale Hyper-V, Active Directory, e Skype for Business. Microsoft ha costruito Edge come browser di nuova generazione per Windows 10, progettato per sostituire Internet Explorer nel corso del tempo. Tutte le vulnerabilità di Edge che Microsoft ha rivelato questo mese sono state trovate anche in Internet Explorer, coperto dalle patch MS15-094, ha sottolineato Wolfgang Kandek, dirigente della società di sicurezza informatica Qualys. “Qualcuno potrebbe attaccarvi se avete Internet Explorer o Edge, utilizzando una pagina Web appositamente predisposta”, ha detto Kandek.

microsoft-edge-patch-informatblog

I bollettini mostrano codice duplicato tra Edge e IE, indicando che il team di ingegneri che ha sviluppato Edge ha utilizzato almeno una parte della base di codice di IE, ha detto Kandek. Ma il fatto che Edge aveva meno vulnerabilità questo mese di IE, che ne aveva 17, mostra che lo sforzo di Microsoft nella costruzione di un browser più sicuro sembra dare i primi frutti. Questo mostra anche quanto sia difficile scrivere un software privo di errori e immune agli attacchi, ha detto. Dato che Windows 10 non è stato ampiamente installato nelle aziende, Edge può non essere la priorità assoluta per gli amministratori di sistema; Invece, i bollettini a cui dovrebbero dare un’occhiata con urgenza sono MS15-097 e MS15-099, che descrivono una serie di vulnerabilità critiche presenti in Office 2007 e 2010, ha consigliato Amol Sarwate, direttore di Qualys.

“Ci sono già attacchi che utilizzano queste vulnerabilità”, ha detto Sarwate. Molti di questi sono vulnerabilità legate all’esecuzione di codice in modalità remota, il che significa che l’utente deve solo aprire un documento Excel o Word malevolo, e il codice all’interno può eseguire azioni all’insaputa dell’utente. Quei negozi che eseguono Microsoft Exchange e Active Directory dovrebbero anche dare un’occhiata da vicino a MS15-096 e MS15-103, che coprono Active Directory e Microsoft Exchange rispettivamente.

La vulnerabilità di Exchange potrebbe consentire a un malintenzionato di ottenere l’accesso ai file dell’utente tramite il client Outlook Web Access (OWA). Il difetto di Active Directory rende invece il software vulnerabile ad un Denial of Service (DoS); Active Directory è in genere una applicazione critica per le aziende, tiene traccia di tutti gli account utente e di solito non è esposta ai rischi di Internet. Ma gli amministratori dovrebbero restare in guardia e installare la patch.

“Se qualcuno irrompe nella vostra rete, Active Directory potrebbe essere la prima cosa che cercheranno di attaccare”, ha detto Sarwate. Finora quest’anno Microsoft ha rilasciato 105 bollettini di sicurezza, e Qualys stima che il numero raggiungerà i 145 entro la fine dell’anno, una netta crescita rispetto agli anni passati. Nel 2014 Microsoft ha rilasciato 106 bollettini, che erano 100 nel 2011. (I problemi che Microsoft ritrova internamente non vengono in genere diffusi ma vengono corretti con gli aggiornamenti di routine prima che gli attaccanti li scoprano).

“Non penso che il software stia diventando sempre più vulnerabile”, ha detto Kandek. Piuttosto un numero crescente di vulnerabilità deriva dal maggior numero di ricercatori e attaccanti che trovano problemi, insieme con il crescente numero di differenti prodotti, versioni e piattaforme su cui i prodotti girano. “E’ un buon indicatore per quanto la sicurezza stia diventando importante”, ha detto Kandek. (Fonte)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Le guide più interessanti