Libero
TECH NEWS

Windows 10, arriva un aggiornamento di sicurezza imponente: cosa cambia

Microsoft ha rilasciato l'aggiornamento mensile di Windows 10 dedicato alla sicurezza: risolte 120 vulnerabilità di cui molto gravi

windows 10 Fonte foto: Thannaree Deepul / Shutterstock.com

È in fase di distribuzione, tramite Windows Update, il “Patch Tuesday” di agosto 2020, cioè l’aggiornamento mensile di sicurezza dedicato al sistema operativo e agli altri prodotti e servizi di Microsoft, da Edge a SQL Server, passando dal framework .NET e molti altri, comprese le app di Office.

E anche stavolta si tratta di un aggiornamento molto grosso. Sono ben 120, infatti, le vulnerabilità che vengono corrette questo mese, 17 delle quali sono state classificate come critiche e 2 delle quali sono vulnerabilità “zero-day“, cioè falle di sicurezza derivanti da un’errata programmazione del codice non individuata in fase di sviluppo. La cosa grave, però, è che entrambe le vulnerabilità zero-day sono già state sfruttate dagli hacker ben prima che Microsoft rendesse disponibili le due patch. Questi due gravi bug di sicurezza sono stati classificati con i codici di CVE-2020-1464 e CVE-2020-1380.

La vulnerabilità CVE-2020-1464

La prima delle due zero-day corrette con l’ultimo Patch Tuesday di Microsoft risiede direttamente nel sistema operativo Microsoft Windows, per la precisione nel sistema usato per firmare i file. Secondo Microsoft un hacker può usare questo bug per bypassare i sistemi di sicurezza di Windows e caricare file con firma contraffatta. Microsoft ammette che il bug è stato già sfruttato almeno una volta, ma non rilascia alcun dettaglio in merito per non agevolare il lavoro di altri hacker che potrebbero sfruttarlo prima che tutti gli utenti di Windows abbiano scaricato e installato la patch.

La vulnerabilità CVE-2020-1380

La seconda vulnerabilità grave corretta da Microsoft è invece insita nel motore di scripting di Internet Explorer ed è stata scoperta dall’azienda di cybersicurezza Kaspersky. Anche le app della suite Office possono essere attaccate sfruttando lo stesso bug nel motore di scripting (perché Office di fatto usa lo stesso motore di IE per eseguire script) e questo rende particolarmente pericolosa la vulnerabilità: Internet Explorer non lo usa quasi più nessuno, ma Office sì.

Come installare l’aggiornamento

Gli aggiornamenti di sicurezza di Windows vengono solitamente scaricati in autonomia dal sistema operativo e installati durante le fasi di inattività dell’utente. È possibile, e altamente consigliabile, installare l’ultimo aggiornamento di sicurezza per Windows 10 in modo manuale, lanciando Windows Update: verrà indicato come “Aggiornamento cumulativo per Windows 10“. Si tratta di un aggiornamento molto corposo, quindi ci vorrà del tempo per scaricarlo e installarlo e il PC potrebbe essere riavviato più volte durante la procedura di installazione.