Microsoft ha rilasciato aggiornamenti per correggere almeno 79 vulnerabilità di sicurezza nei suoi sistemi operativi Windows e software correlati. Tra queste vulnerabilità, alcune sono già state individuate in attacchi attivi. Un bug critico, in particolare, ha lasciato alcuni PC Windows 10 pericolosamente non aggiornati contro vulnerabilità sfruttate attivamente per diversi mesi quest'anno.

Bug CVE-2024-43491

Il bug più curioso divulgato da Microsoft è stato denominato CVE-2024-43491. Questo difetto ha portato al rollback delle correzioni per alcune vulnerabilità che interessano "componenti opzionali" su certi sistemi Windows 10 prodotti nel 2015. Questi includono sistemi che hanno installato l'aggiornamento di sicurezza mensile di marzo 2024 o altri aggiornamenti rilasciati fino ad agosto 2024. Satnam Narang, ingegnere di ricerca senior presso Tenable, ha spiegato che il rollback delle correzioni ha reintrodotto vulnerabilità già note e sfruttate. Per risolvere il problema, gli utenti devono applicare sia l'aggiornamento dello stack di manutenzione di settembre 2024 che gli aggiornamenti di sicurezza di Windows di settembre 2024.

Kev Breen, direttore senior della ricerca sulle minacce presso Immersive Labs, ha aggiunto che la causa principale di CVE-2024-43491 risiede nel fatto che su versioni specifiche di Windows 10, i numeri di versione del build controllati dal servizio di aggiornamento non erano gestiti correttamente nel codice. Questo ha lasciato alcuni sistemi Windows 10 con componenti opzionali attivati in uno stato vulnerabile.

Vulnerabilità Zero-Day

Tra le vulnerabilità zero-day, CVE-2024-38226 riguarda un difetto in Microsoft Publisher che consente agli attaccanti di bypassare il "Mark of the Web", una caratteristica di sicurezza di Windows che segna i file scaricati da Internet come potenzialmente non sicuri. CVE-2024-38217, un'altra vulnerabilità zero-day, riguarda anch'essa un bypass del Mark of the Web che interessa Office. Entrambe le vulnerabilità richiedono che il bersaglio apra un file di Office trappolato. Rapid7 ha notato che CVE-2024-38217 è stata divulgata pubblicamente con un ampio resoconto, e che il codice exploit è disponibile su GitHub.

CVE-2024-38014, un bug di "elevazione dei privilegi" nel Windows Installer, è anch'esso sfruttato attivamente. Giugno è stato un mese particolarmente critico per Microsoft, con un'ondata di critiche da parte di esperti di privacy e sicurezza riguardo a "Recall", una funzionalità di intelligenza artificiale integrata nei PC Copilot+ di Microsoft. La funzionalità scatta continuamente screenshot di qualsiasi attività degli utenti sui loro computer. Microsoft ha chiarito che tale funzionalità non sarà disabilitabile nelle versioni future di Windows, il che ha sollevato preoccupazioni significative sulla privacy.

Aggiornamenti Adobe

Adobe ha rilasciato aggiornamenti per correggere vulnerabilità di sicurezza in una gamma di prodotti, tra cui Reader e Acrobat, After Effects, Premiere Pro, Illustrator, ColdFusion, Adobe Audition e Photoshop. Adobe ha dichiarato di non essere a conoscenza di exploit in circolazione per nessuno dei problemi affrontati.

Per un'analisi dettagliata delle patch rilasciate da Microsoft, è utile consultare l'elenco completo del SANS Internet Storm Center. Le persone responsabili della gestione di molti sistemi in un ambiente aziendale dovrebbero tenere d'occhio AskWoody.com, che spesso ha informazioni dettagliate su patch di Windows che potrebbero causare problemi ad alcuni utenti.