La patch per la grave falla era prevista non prima del 9-1, ma Microsoft ha fatto un piccolo regalo agli indifesi clienti rendendola disponibile per l’epifania.

Non è uscito solo l’ultimo libro di Harry Potter per l’epifania: finalmente disponibile la patch ufficiale per la falla WMF (che espone a grosso rischio tutti i computer con Windows installato). Finalmente, perchè la gravità della situazione aveva spinto i più grandi guru della sicurezza informatica a suggerire di utilizzare addirittura la patch non ufficiale (prima volta nella storia…). La gravità della falla è spiegata anche dal bollettino ufficiale

Who should read this document: Customers who use Microsoft Windows
Impact of Vulnerability: Remote Code Execution
Maximum Severity Rating: Critical
Recommendation: Customers should apply the update immediately.

In pratica, tutti coloro che hanno Windows devono subito installare questo aggiornamento.

Interessante il comunicato Microsoft circa gli aggiornamenti di sicurezza e coloro che aiutano a scoprire le falle; come recita la policy sugli aggiornamenti di sicurezza:

When we find a vulnerability, we develop a patch as quickly as possible and broadly disseminate information about the vulnerability, the risk it poses, and what customers can do to protect themselves against it.

In breve, quando uno smanettone scopre una falla si scatena l’inferno tra i dirigenti Microsoft: trovare la soluzione di sicurezza e rendere disponibile la patch prima che il tam tam mediatico bolli nuovamente i prodotti Windows come poco sicuri.

However, to do this we need the help of the people who discover security vulnerabilities. No vendor can develop security patches overnight.
Giustamente Microsoft ha bisogno di persone che la aiutino a scoprire i difetti del proprio sistema, precisando che non è possibile realizzare immediatamente una patch. Anche se

Many security professionals follow these practices, and Microsoft wants to single them out for special thanks. The acknowledgment section of our security bulletins is intended to do this. When you see a security professional acknowledged in a Microsoft Security Bulletin, it means that they reported the vulnerability to us confidentially, worked with us to develop the patch, and helped us disseminate information about it once the threat was eliminated. They minimized the threat to customers everywhere by ensuring that Microsoft could fix the problem before malicious users even knew it existed.[..] Microsoft thanks the following for working with us to help protect customers: Dan Hubbard of WebSense for working with us on the Graphics Rendering Engine Vulnerability – CVE-2005-4560.

In sostanza Microsoft ringrazia tutti i professionisti che lavorano per realizzare gli aggiornamenti sulla sicurezza delle numerose versioni di Windows esistenti, soprattutto coloro che hanno fornito informazioni utili per eliminare il problema senza enfatizzare il problema (malizia?) e con la sicurezza che Microsoft avrebbe risolto il problema. Rilasciare la patch al più presto è una fondamentale questione di marketing.

Come recita il comunicato di Websense (sito web specializzato nella sicurezza, che ha aiutato Microsoft in questo caso),

At this time more than 1100 URLs are still actively attempting to exploit users who have not installed the patch. Most attacks are Trojan horse downloaders which update over HTTP and install and run other pieces of malicious code. Depending on your patch rollout procedures, we still recommend that customers block all URLs that end in .WMF

In questo momento ci sono migliaia di tentativi di exploit (attacchi per inserire il codice malizioso all’interno del pc destinatario per attivare poi il codice maligno) contro utenti che non hanno ancora installato la patch.

In conclusione: i sostenitori di Linux e sistemi alternativi a Microsoft gongoleranno per questa ennesima vulnerabilit� di Windows. Sostenitori e utilizzatori di Windows…. installate l’aggiornamento!! [F.B. – https://www.magnaromagna.it]