[English readers: you can find English links in this post for your convenience]

La scorsa venerdì sera, contemporaneamente al rilascio del bollettino straordinario MS12-063, Microsoft ha rilasciato anche un Security Advisory che segnala la disponibilità dei (giustamente molto attesi) aggiornamenti di sicurezza dell’Adobe Flash Player che è integrato in Windows 8 e Windows Server 2012.

Microsoft Security Advisory (2755801) Update for Vulnerabilities in Adobe Flash Player in Internet Explorer 10

MSRC Blog > Security Advisory 2755801 addresses Adobe Flash Player issues

Questi aggiornamenti, che sono distribuiti direttamente e automaticamente tramite Microsoft Update come i normali aggiornamenti di Windows (i link per il download manuale sono comunque disponibili nel Microsoft Knowledge Base Article 2755399), indirizzano le vulnerabilità segnalate da Adobe negli ultimi due loro Security Bulletin relativi al Flash Player:

Adobe Security Bulletin APSB12-18

Adobe Security Bulletin APSB12-19

Per non farvi indugiare sulla verifica dell’avvenuto aggiornamento automatico (per gli utenti finali), o sulla rapida distribuzione di questo aggiornamento (per i sistemi aziendali centralmente controllati da un amministratore) vi ricordo che il primo dei due bollettini di Adobe segnalava una  vulnerabilità 0-day attivamente sfruttata per attacchi (CVE-2012-1535).

Sono il primo a dire che non è stato bello osservare tanto ritardo nel rilasciare questo aggiornamento rispetto al Security Bulletin di Adobe, ma voglio far presente quanto questa situazione fosse particolarmente nuova e diversa dal passato: è la prima volta che Microsoft ingloba in Windows dei componenti terzi di cui si fa personalmente carico di aggiornare, ovviamente a partire dalle investigazioni e le analisi fatte dalla società terza, in questo caso Adobe. E’ necessaria una robusta e collaudata collaborazione per gestire al meglio questo nuovo scenario, e posso immaginare che l’urgenza di uno 0-day Adobe subito a ridosso della RTM di Windows 8 (ma se ci pensate prima ancora della disponibilità al pubblico!) non sia stata una situazione facile da gestire: come potrete leggere dal post del MSRC, si riconosce come si debba migliorare nell’allineamento di rilasci, sono sicuro che alla prossima occasione non si osserverà più un tale ritardo.

Feliciano

Other related posts/resources: