Ad accompagnare gli aggiornamenti di questo mese, c'è un intervento di Mike Reavey, Senior Director di MSRC, che fa una sintesi di cosa è successo durante l'arco del 2011.

Decremento degli aggiornamenti e dei CVE Critici

Il numero totale dei bollettini per il 2011 è 99, includendo i 13 rilasciati oggi. Di questi, 10 sono stati valutati Importanti mentre solo 3 sono Critici. Questo rispecchia un trend che abbiamo visto negli ultimi anni: un decremento in percentuale degli aggiornamenti Critici. Nel 2011, gli aggiornamenti Critici hanno rappresentato solo il 32% del totale, la più bassa percentuale da quando sono stati introdotti gli aggiornamenti mensili nel 2004. Un altro dato interessante è il fatto che negli ultimi sei mesi questa percentuale è addirittura minore; infatti meno del 20% degli aggiornamenti sono stati Critici.

Riguardo il numero delle vulnerabilità di per se, i CVE Critici per il 2011 sono stati meno di un terzo del totale. Parlando per assoluti, i CVE e gli aggiornamenti Critici sono ai livelli minimi dal 2005 ad oggi. Il fatto che stiamo vedendo sempre meno aggiornamenti Critici dimostra il progresso fatto dai vari team nel creare software sempre più sicuro.

Anche se ci sono meno aggiornamenti Critici anno dopo anno, sappiamo che ogni update può generare dei problemi per gli utenti. Per evitare ciò, facciamo il nostro meglio per rendere il processo d'aggiornamento il più indolore e trasparente possibile. Con questo obiettivo, nel 2011 non sono stati rilasciati aggiornamenti "Out of Cycle", cioè aggiornamenti rilasciati al di fuori del regolare ciclo mensile. Sappiamo che questi aggiornamenti fuori dal normale ciclo mensile prevedono un'interruzione della regolare attività, specialmente per le realtà aziendali, quindi ogni decisione di rilasciare un aggiornamento "Out of Cycle" viene adeguatamente ponderata. Un'efficace collaborazione con i vari team, miglioramenti nella telemetria dei rischi, l'abilità di rilasciare workaround effettivi e la possibilità di collaborare con i partner del programma MAPP hanno fatto sì che nel 2011 tutti gli aggiornamenti sono stati rilasciati durante il regolare ciclo mensile. Un altro fattore è il continuo lavoro con la comunità di ricercatori di sicurezza che riporta vulnerabilità nei nostri prodotti. Nel 2011, oltre l'80% delle vulnerabilità risolte sono state riportate privatamente e rilasciate seguendo la Coordinated Responsible Disclosure. Negli ultimi sei mesi questa percentuale sale a oltre l'85%. Nonostante questi numeri rassicuranti, continuamo a lavorare la community di ricercatori, e l'apice di questa collaborazione è l'annuncio del primo Blue Hat Prize la scorsa estate, che premierà con oltre $250000 i ricercatori che proporranno le migliori tecnologie difensive. Ci saranno novità riguardo il Blue Hat Prize durante il corso del 2012, ma non vogliamo anticiparvi nulla.

Tecnologie Difensive

I due cambiamenti principali, riguardanti l'estensione di tecnologie difensive, durante il 2011 sono avvenuti in Microsoft Office e Microsoft Windows. Nel mese di Aprile, dopo il suo annuncio nel Dicembre 2010, è stata rilasciata la tecnologia Office File Validation (OFV). L'OFV estende la tecnologia "Gatekeeper", che cerca di rilevare e bloccare l'apertura di file dannosi in Office 2010, alle edizioni 2007 e 2003 di Microsoft Office. Dal suo rilascio, questa tecnologia è stata adottata da oltre 200 milioni di sistemi. A Febbraio, invece, è cambiato il comportamento dell'Autorun tramite USB su sistemi Windows XP e Vista. Questo cambio ha ridotto il numero di infezioni indotte dall'Autorun del 59% su sistemi Windows XP e di 74% su Vista, rispetto al 2010, con un decremento globale del 68%.

Nel 2012 continueremo a rilasciare aggiornamenti di qualità, affrontando le sfide che incontreremo durante l'arcod dell'anno. Continueremo a lavorare con i vari team, i ricercatori e i partner per migliorarci, avendo sempre come priorità assoluta la protezione degli utenti.

Grazie!

Mike Reavey
Senior Director - MSRC