Vi siete mai chiesti da dove vengono gli aggiornamenti del martedì, o cosa succede quando accade un incidente di sicurezza in Microsoft? O sapere chi sono le persone dietro tutto ciò?

L'Update Tuesday, che ci porta qui oggi, è uno dei risultati più importanti della famosa mail di 10 anni fa di Bill Gates, che ha messo la sicurezza al centro dello sviluppo e del supporto dei prodotti Microsoft. Qui al Trustworthy Computing cerchiamo di guardare al futuro più che al passato, ma al decimo anniversario alcuni di noi hanno pensato di parlare dell’incident response, del security ecosystem e come Microsoft collabora con i vari attori dell’industria della sicurezza:

  • Dustin Childs, MSRC Senior Security Program Manager, spiega perché “viviamo per il secondo martedì del mese” e dà una piccola panoramica di come il processo di incident response di Microsoft ha gestito MS08-067, che poi divenne Conficker.
  • Mike Reavey, MSRC Senior Director, racconta come non prendere due volte la stessa ardua decisione.
  • Leigh Honeywell, MSRC Security Program Manager, spiega com’è passare dalla comunità open-source a Microsoft e diventare un “Internet firefighter”.
  • Katie Moussouris, EcoStrat Senior Security Strategist, ci dice di quanto è importante parlare con i ricercatori di vulnerabilità e com'è stato convincere Microsoft a pagare un quarto di milione di dollari tramite il BlueHat Prize.
  • Maarten van Horenbeeck, EcoStrat Senior Security Strategist, spiega come il mantenere le relazioni con i partner protegge l’intero sistema.
  • E, per spiegare come veniamo percepiti da un osservatore di vecchia data, abbiamo organizzato una Skype chat con il tech evangelist Ryan Naraine per avere la sua opinione su come il processo coinvolge l’intero ecosistema.

PS: Tra i vari spezzoni di video nelle interviste compaio anche io ;)

Nel frattempo, come preannunciato nel blog post relativo all’Advance Notification Service lo scorso Giovedì, oggi abbiamo rilasciato nove aggiornamenti di sicurezza, sette di Critici, e due Importanti. Gli aggiornamenti correggono 21 vulnerabilità in prodotti Microsoft. Per chi dovesse prioritizzare gli aggiornamenti, questi sono i nostri suggerimenti:

  • MS12-010 Internet Explorer: questo aggiornamento corregge due vulnerabilità Critiche, una Importante ed una Moderata. La vulnerabilità più grave permette l'esecuzione di codice arbitrario da remoto, se un attaccante riesce a convincere un utente a visitare una pagina web malevola. Tutte le vulnerabilità corrette sono state riportate privatamente a Microsoft e non siamo a conoscenza di attacchi.
  • MS12-013 C Runtime Library: questo aggiornamento corregge una vulnerabilità che permette ad un attaccante di eseguire codice arbitrario se riesce a convincere la sua vittima ad aprire un file multimediale malevolo o a visitare una pagina web che ospita tale file. Questa vulnerabilità è stata riportata privatamente a Microsoft e, come nel caso precedente, non siamo a conoscenza di attacchi che tentano di sfruttarla.

Per entrambi gli aggiornamenti, raccomandiamo gli utenti di leggere il relativo bollettino ed applicare l’aggiornamento il prima possibile.

Di seguito la tabella relativa alla priorità degli aggiornamenti:

Deployment Priority

Mentre la seguente è il grafico che mostra la severità e l’exploitability index dei vari aggiornamenti:

Exploitability Index

Per una lista completa degli aggiornamenti e maggiori dettagli, è possibile consultare la pagina relativa.

Come al solito, i nostri colleghi del Security Research and Defense team hanno preparato diversi blog post che forniscono maggiori dettagli relativi agli aggiornamenti di questo mese. Oltre a dettagli tecnici relativi a MS12-013, c’è un articolo riguardante MS12-014, che riguarda una vulnerabilità in Indeo, un codec multimediale che esiste da un bel po’ di tempo.

Come ogni mese, Mercoledì sarà tenuto il Webcast mensile, con Pete Voss e Jonathan Ness. Insieme faranno una panoramica degli aggiornamenti, discuteranno di alcuni futuri cambiamenti di Technet, e risponderanno ad alcune domande relative al supporto di Windows Vista. Il webcast è in programma per domani, 15 Febbraio 2012, alle 20:00 ora italiana. Clicca qui per registrarti.

A presto!

Gerardo Di Giacomo
Security Program Manager - MSRC