Vi siete mai chiesti da dove vengono gli aggiornamenti del martedì, o cosa succede quando accade un incidente di sicurezza in Microsoft? O sapere chi sono le persone dietro tutto ciò?

L'Update Tuesday, che ci porta qui oggi, è uno dei risultati più importanti della famosa mail di 10 anni fa di Bill Gates, che ha messo la sicurezza al centro dello sviluppo e del supporto dei prodotti Microsoft. Qui al Trustworthy Computing cerchiamo di guardare al futuro più che al passato, ma al decimo anniversario alcuni di noi hanno pensato di parlare dell’incident response, del security ecosystem e come Microsoft collabora con i vari attori dell’industria della sicurezza:

• Dustin Childs, MSRC Senior Security Program Manager, spiega perché “viviamo per il secondo martedì del mese” e dà una piccola panoramica di come il processo di incident response di Microsoft ha gestito MS08-067, che poi divenne Conficker.
• Mike Reavey, MSRC Senior Director, racconta come non prendere due volte la stessa ardua decisione.
• Leigh Honeywell, MSRC Security Program Manager, spiega com’è passare dalla comunità open-source a Microsoft e diventare un “Internet firefighter”.
• Katie Moussouris, EcoStrat Senior Security Strategist, ci dice di quanto è importante parlare con i ricercatori di vulnerabilità e com'è stato convincere Microsoft a pagare un quarto di milione di dollari tramite il BlueHat Prize.
• Maarten van Horenbeeck, EcoStrat Senior Security Strategist, spiega come il mantenere le relazioni con i partner protegge l’intero sistema.
• E, per spiegare come veniamo percepiti da un osservatore di vecchia data, abbiamo organizzato una Skype chat con il tech evangelist Ryan Naraine per avere la sua opinione su come il processo coinvolge l’intero ecosistema.

PS: Tra i vari spezzoni di video nelle interviste compaio anche io ;)

Nel frattempo, come preannunciato nel blog post relativo all’Advance Notification Service lo scorso Giovedì, oggi abbiamo rilasciato nove aggiornamenti di sicurezza, sette di Critici, e due Importanti. Gli aggiornamenti correggono 21 vulnerabilità in prodotti Microsoft. Per chi dovesse prioritizzare gli aggiornamenti, questi sono i nostri suggerimenti:

• MS12-010 Internet Explorer: questo aggiornamento corregge due vulnerabilità Critiche, una Importante ed una Moderata. La vulnerabilità più grave permette l'esecuzione di codice arbitrario da remoto, se un attaccante riesce a convincere un utente a visitare una pagina web malevola. Tutte le vulnerabilità corrette sono state riportate privatamente a Microsoft e non siamo a conoscenza di attacchi.
• MS12-013 C Runtime Library: questo aggiornamento corregge una vulnerabilità che permette ad un attaccante di eseguire codice arbitrario se riesce a convincere la sua vittima ad aprire un file multimediale malevolo o a visitare una pagina web che ospita tale file. Questa vulnerabilità è stata riportata privatamente a Microsoft e, come nel caso precedente, non siamo a conoscenza di attacchi che tentano di sfruttarla.

Per entrambi gli aggiornamenti, raccomandiamo gli utenti di leggere il relativo bollettino ed applicare l’aggiornamento il prima possibile.

Di seguito la tabella relativa alla priorità degli aggiornamenti:

Mentre la seguente è il grafico che mostra la severità e l’exploitability index dei vari aggiornamenti:

Per una lista completa degli aggiornamenti e maggiori dettagli, è possibile consultare la pagina relativa.

Come al solito, i nostri colleghi del Security Research and Defense team hanno preparato diversi blog post che forniscono maggiori dettagli relativi agli aggiornamenti di questo mese. Oltre a dettagli tecnici relativi a MS12-013, c’è un articolo riguardante MS12-014, che riguarda una vulnerabilità in Indeo, un codec multimediale che esiste da un bel po’ di tempo.

Come ogni mese, Mercoledì sarà tenuto il Webcast mensile, con Pete Voss e Jonathan Ness. Insieme faranno una panoramica degli aggiornamenti, discuteranno di alcuni futuri cambiamenti di Technet, e risponderanno ad alcune domande relative al supporto di Windows Vista. Il webcast è in programma per domani, 15 Febbraio 2012, alle 20:00 ora italiana. Clicca qui per registrarti.

A presto!

Gerardo Di Giacomo
Security Program Manager - MSRC

Ciao a tutti. Poco fa è stato rilasciato l’advance notification per i bollettini di sicurezza di Febbraio, previsti per Martedì 14. Gli aggiornamenti di questo mese sono nove, e correggono 21 vulnerabilità in Microsoft Windows, Office, Internet Explorer e .NET/Silverlight. Come sempre, raccomandiamo di rivedere l’ANS per maggiori informazioni e prepararsi per il test e l’installazione di questi aggiornamenti.

Come ogni mese, gli aggiornamenti verranno rilasciati intorno alle 19, quindi tornate a trovarmi la settimana prossima per avere maggiori dettagli.

Durante il corso degli anni, abbiamo constatato che le informazioni riguardo il Security Development Lifecycle hanno ottenuto oltre 850.000 download. I nostri amici del team SDL hanno chiesto a Steve Lipner, Senior Director del team Security Engineering Strategy, come la famosa email di Bill Gates di dieci anni fa è diventata “legge” in Microsoft. Ovviamente, l’SDL è un processo molto attivo e continua a cambiare e crescere. Per maggiori informazioni su quello che succederà in futuro, come per esempio la nuova Security Development Conference, date un’occhiata al post scritto da Tim Rains sul suo blog. Come ogni Mercoledì post-release, Jonathan Ness e Pete Voss terranno un webcast dove verranno discussi gli aggiornamenti di questo mese, e sarà possibile porre domande in diretta. Ecco i dettagli sull’evento:

Data: Mercoledì, 15 Febbraio
Ora: 20:00 (ora italiana)
Link di registrazione

A presto!

Gerardo Di Giacomo
Security Program Manager - MSRC