Martedì, Microsoft ha rilasciato 71 patch che interessano 14 famiglie di prodotti. Sei delle vulnerabilità corrette – cinque relative all’esecuzione di codice da remoto e una alla divulgazione di informazioni (inclusi dati personali identificabili, PII) – sono considerate di gravità critica da Microsoft. Inoltre, 12 vulnerabilità presentano un punteggio CVSS base pari o superiore a 8.0. Cinque di queste, tutte classificate come Importanti e riguardanti Windows, sono già attivamente sfruttate.
Al momento della pubblicazione delle patch, Microsoft stima che altre nove vulnerabilità (CVE) abbiano elevate probabilità di essere sfruttate entro i prossimi 30 giorni. Alcuni dei problemi segnalati questo mese possono essere rilevati direttamente dalle protezioni Sophos, come indicato in una tabella inclusa più avanti.
Oltre a queste patch, la release include otto vulnerabilità di gravità “Importante” in Adobe Reader che riguardano ColdFusion. Tali vulnerabilità sono elencate nell’Appendice D. La stessa appendice contiene anche informazioni su otto vulnerabilità relative a Edge e sette che interessano Azure, Dataverse o Power Apps.
Anche se alcune di queste vulnerabilità non legate a Edge sono piuttosto gravi (con punteggi CVSS superiori a 9.0 – una addirittura pari a 10), Microsoft ha confermato che sono già state patchate nei giorni scorsi: l’informazione viene quindi fornita solo a scopo informativo (FYI).
Come di consueto, al termine di questo post troverai le appendici con:
- l’elenco completo delle patch Microsoft ordinate per gravità, tempistiche previste di sfruttamento e punteggio CVSS
- una sezione dedicata agli aggiornamenti in stile avviso (advisory)
- una panoramica delle patch che riguardano le varie versioni di Windows Server ancora supportate.
Leggi tutto l’articolo qui.
