Ai media piacciono gli allarmi catastrofici, e così si sono fatti un po’ prendere la mano quando Microsoft ha annunciato il 14 gennaio scorso un aggiornamento “critico” di sicurezza per una falla di Windows 10 che le è stata segnalata nientemeno che dalle super-spie dell’NSA.
La falla, denominata CVE-2020-0601, è seria: se sfruttata con successo, consentirebbe a un aggressore di creare programmi ostili (virus o malware) apparentemente provenienti da una fonte attendibile e fidata.
Per esempio, una banda di criminali o uno stato ostile potrebbe creare una falsa versione di Adobe Acrobat o di Microsoft Word e “firmarla” con quella che sembrerebbe, a Windows, la vera firma digitale di Adobe o Microsoft. La stessa impostura si applicherebbe alle identità delle pagine Web.
Microsoft, però, nota che non ha visto alcuna prova del fatto che questa falla venga già sfruttata da malfattori. Quindi aggiornare Windows 10 è importante, ma non è il caso di disperarsi e fare di fretta: basta fare i normali aggiornamenti. Quello che risolve questa falla è già stato distribuito martedì scorso e risolve anche parecchie altre magagne. Anche Windows Server 2016 e 2019 è vulnerabile e ha i suoi aggiornamenti appositi, come segnala Cybersecurity360 (in italiano).
Un ricercatore, Saleem Rashid, ha presentato su Twitter una dimostrazione pratica decisamente allegra di una parte della falla, facendo sembrare che il sito dell’NSA, su una connessione sicura, stesse suonando il video di Never Gonna Give You Up di Rick Astley. Un rickroll, insomma.
Resta un solo dubbio: se l’NSA sapeva di questa vulnerabilità, che le permetteva teoricamente di fare ogni sorta di attacchi, come mai ha deciso di divulgarla invece di tenerla per sé e avere un vantaggio? Si possono solo fare ipotesi. La più ingenua, ma non impossibile, è che l’NSA abbia agito per buon cuore. Ma è anche possibile, e forse più plausibile, che l’agenzia governativa statunitense abbia avuto il timore che altri scoprissero questa stessa falla e la sfruttassero.
In ogni caso, ora che la falla è nota, i criminali non perderanno tempo a costruire attacchi informatici che la sfruttano per prendere di mira tutti quelli che non si aggiornano e restano vulnerabili. Quindi scaricate e installate gli aggiornamenti di sicurezza di Windows 10 seguendo la consueta procedura.
Fonte aggiuntiva: Ars Technica.
Nessun commento:
Posta un commento
Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.