La prima patch Microsoft del 2011 è relativa ad una singola vulnerabilità scoperta all’interno del Windows Backup Manager. Un eventuale exploit può andare a segno forzando l’apertura di un apposito file nella cui medesima cartella è contenuto il codice in grado di aprire all’attacco da remoto. La MS11-001 è pertanto considerata di gravità “importante” ed è in distribuzione per tutti i sistemi Windows Vista.
La seconda patch Microsoft del 2011 va invece a risolvere una doppia vulnerabilità nelle Microsoft Data Access Components: l’attacco può essere avviato forzando la visita di una apposita pagina Web e consente ad un malintenzionato di entrare in possesso dei medesimi privilegi dell’operatore attaccato. La patch MS11-002 è di rilevanza “critica” per le postazioni client e di rilevanza “importante” per le installazioni server. Il bollettino di sicurezza diramato sottolinea il coinvolgimento nel problema dei sistemi Windows XP, Windows Vista e Windows 7.
La tornata di patch di gennaio, però, inaugura l’anno all’insegna delle mancanze. La patch più attesa, infatti, non c’è: il Microsoft Security Advisory (2488013) è stato infatti aggiornato in data odierna dopo la prima pubblicazione del 22 dicembre scorso segnalando nuovi dettagli per la vulnerabilità tuttora aperta su Internet Explorer. Il problema maggiore è relativo al fatto che il codice di exploit è già pubblico, ma Microsoft ha rifiutato dapprima una patch out-of-band durante le vacanze natalizie e quindi ha rigettato la possibilità di un correttivo in corsa anche per il patch day di gennaio.
La prossima tornata di aggiornamenti giungerà però in tempi relativamente brevi (8 febbraio), ed in questa occasione è presumibile una patch che consenta la correzione di IE (in tutte le sue versioni) senza costringere l’utenza ad improbabili e creativi workaround. Come sottolineato da PcWorld, infatti, il consiglio per limitare i problemi derivanti dalla vulnerabilità aperta su IE è quello di utilizzare l’Application Compatibility Toolkit presente sul sistema operativo per andare a modificare alcune opzioni di IE. Si utilizza in modo inatteso, insomma, uno strumento nato per tutt’altra finalità, ma agli effetti trattasi di un intervento pulito ed efficace.
Microsoft ha già probabilmente a disposizione la patch per IE, ma potrebbe averla trattenuta o per l’assenza di adeguate garanzie qualitative, oppure per accumularla ad altri aggiornamenti e rilasciare ancora una volta per il browser di casa un aggiornamento cumulativo unico. Nel caso in cui la situazione dovesse improvvisamente rendersi critica la patch out-of-band sarà però una scelta obbligata.