Con l’ultimo aggiornamento cumulativo di gennaio, Microsoft ha incluso molte patch di sicurezza per alcune vulnerabilità di Windows e altri servizi.
Corrette sei nuove vulnerabilità 0-day
Microsoft ha annunciato di aver corretto 97 falle scoperte recentemente, di cui 9 classificate come critiche e 88 come importanti, dopo quelle scoperte gli scorsi mesi. Nello specifico, sono state patchate sei nuove vulnerabilità 0-day, tra cui CVE-2021-22947, CVE-2021-36976, CVE-2022-21919, CVE-2022-21836, CVE-2022-21839, CVE-2022-21874, delle quali fortunatamente nessuna è stata sfruttata attivamente.
Microsoft ha corretto anche una vulnerabilità del protocollo HTTP, CVE-2022-21907, particolarmente delicata perché potenzialmente a rischio di attacchi tramite l’invio di pacchetti nella rete.
Nella maggior parte dei casi, un utente malintenzionato non autenticato può inviare un pacchetto appositamente predisposto a un server mirato utilizzando HTTP Protocol Stack (http.sys) per elaborare i pacchetti. Microsoft consiglia di assegnare la priorità all’applicazione di patch ai server interessati.
Inoltre è stata corretta anche una vulnerabilità di Office, CVE-2022-21840, considerata come critica perché permetterebbe l’esecuzione di codice in remoto.
In uno scenario di attacco tramite posta elettronica, un utente malintenzionato può sfruttare la vulnerabilità inviando il file appositamente predisposto all’utente e convincendolo ad aprire il file.
In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe ospitare un sito Web (o sfruttare un sito Web compromesso che accetta o ospita contenuto fornito dall’utente) contenente un file appositamente predisposto per sfruttare la vulnerabilità.
Cosa ne pensate di questi problemi di vulnerabilità? Ritenete Windows sempre più sicuro? Diteci la vostra nei commenti.
Articolo di Windows Blog Italia