Microsoft ha anticipato che il prossimo martedì 28 luglio (alla tipica ora, le 10.00 AM Pacific Time di Redmond, equivalenti alle nostre 19.00) pubblicherà 2 bollettini di sicurezza:

Microsoft Security Bulletin Advance Notification for July 2009

Come spiegato dal relativo post del MSRC, anche se si sta indirizzando un unico problema, il rilascio prevede un bollettino relativo alla famiglia di prodotti di sviluppo Microsoft Visual Studio per correggere le vulnerabilità specifiche, e un bollettino relativo a Internet Explorer per introdurre dei miglioramenti che aiutano a proteggere meglio dai rischi esposti dalle vulnerabilità di Visual Studio (in pratica si bloccano le modalità che possano usare Internet Explorer come vettore di attacco). Approfittando di questo rilascio, il bollettino di Internet Explorer correggerà anche altre vulnerabilità non connesse a quelle di Visual Studio. Tutte le vulnerabilità che verranno risolte da questi bollettini sono state comunicate in modo responsabile e quindi non sono ancora pubbliche. E’ importante sottolineare come i clienti che abbiano i sistemi perfettamente aggiornati con tutti gli aggiornamenti di sicurezza siano protetti rispetto agli attacchi noti relativi a queste vulnerabilità.

Anche se non ci sono ulteriori dettagli da condividervi per comprendere il livello di rischio di queste vulnerabilità (vi assicuro che non sono disponibili anche per gli addetti ai lavori come me), vista la tipologia di bollettini si può ragionevolmente intuire che la serietà del problema sia direttamente connessa all’ampiezza dell’impatto di queste vulnerabilità, ben oltre i prodotti Microsoft, estesa alla particolare tipologia di applicazioni che, sviluppate tramite Visual Studio, possano aver redistribuito il componente vulnerabile: è per questo che si richiama l’attenzione degli sviluppatori su questo rilascio straordinario, essi dovranno valutare se le loro applicazioni sono interessate da questo problema e dovranno attrezzarsi per aggiornarle di conseguenza.

Il rilascio straordinario, anche noto come rilascio Out-of-Band (OOB) perché fuori del consueto appuntamento ordinario del secondo martedì di ogni mese, è utilizzato da Microsoft per esigenze di massima tutela della protezione dei clienti: tipicamente la sua forza risiede nella capacità di fornire la soluzione di problemi prima ancora che siano resi pubblici e quindi sfruttabili per attaccare, e la sua efficacia risulta direttamente proporzionale alla velocità di aggiornamento del più ampio numero possibile di sistemi interessati. L’ultimo rilascio OOB risale allo scorso 23 ottobre 2008, data in cui fu pubblicato il famigerato bollettino MS08-067, le cui vulnerabilità sono state ampiamente sfruttate dal flagello Conficker. Senza per nulla voler mettere in relazione quel livello di rischio rispetto a quello degli imminenti bollettini, abbiamo avuto evidenza di un dato che deve far riflettere: chi allora ha provveduto con sollecitudine all’aggiornamento è riuscito a non essere coinvolto dalle infezioni emerse ben 2 mesi dopo, mentre chi ha tardato ha dovuto far fronte a questo problema, prima o poi (ci sono clienti in ballo ancor oggi :-(…). Riconosciamo, quindi, l’importanza dell’aggiornamento urgente e massivo, pesandola come prioritaria rispetto al rischio di problemi di compatibilità applicativa.

Sul problema specifico ci risentiamo il prossimo martedì sera, a bollettini pubblicati, per la consueta analisi di rischio.

Feliciano

Altri post/risorse correlate: