Cerca nel blog

2015/07/20

Aggiornamento d’emergenza per tutte le versioni di Windows, “merito” di HackingTeam

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/07/21 1:50.

La fuga massiccia di dati da HackingTeam continua a rivelare falle gravissime finora pubblicamente sconosciute nei componenti software più diffusi. Dopo una vulnerabilità in Windows, una in Internet Explorer e tre in Adobe Flash scoperte e risolte, stavolta è di nuovo il turno di Windows. Tutte le versioni. Niente panico: c'è già l'aggiornamento, a meno che abbiate Windows Server 2003 o Windows XP, nel qual caso siete e resterete vulnerabili.

La falla è decisamente critica e per esserne colpiti basta ricevere un documento o visitare una pagina Web contenente un font particolare. Sì, non ridete: si possono infettare i computer usando i font. E una volta che l'attacco ha avuto successo, un aggressore può usarlo per prendere il controllo completo del sistema colpito, installare programmi, vedere o modificare o cancellare dati o creare account nuovi. Se vi sembro eccessivamente catastrofico, tenete presente che sto soltanto citando testualmente il bollettino di Microsoft MS15-078.

Per ora Microsoft non ha notizia di attacchi basati su questa falla, ma è soltanto questione di tempo: tipicamente un paio di giorni, a giudicare dagli eventi analoghi più recenti. È già pronto l'aggiornamento d'emergenza, che dovrebbe installarsi automaticamente per la maggior parte degli utenti.

L'aggiornamento, rilasciato poco fa, risolve questa falla per Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows RT e RT 8.1. Non c'è aggiornamento per Windows Server 2003 e per Windows XP, perché non sono più supportati (a meno di contratti speciali con Microsoft).

La falla è stata trovata da Mateusz Jurczyk di Google Project Zero e da Genwei Jiang di FireEye studiando i documenti di HackingTeam, secondo quanto riportato da The Register.

Nessun commento: