Microsoft Windows Security Update dicembre 2020: corrette 58 vulnerabilità

windows-update-dicembre-2020
Condividi:

Microsoft ha rilasciato la tradizionale correzione mensile, l’ultima per il 2020, sistemando ben 58 falle di sicurezza scoperte di recente che interessano 11 prodotti e servizi. Nel corso dell’anno i vari Windows Security Update hanno individuato e sistemato 1.250 difetti “CVE” (Common Vulnerabilities and Exposures).

Report di dicembre del Windows Security Update

Di queste 58 patch, 9 sono classificate come critiche, 46 come importanti e 3 con gravità moderata.
La patch di sicurezza di dicembre risolve i problemi in Microsoft Windows, Edge, ChakraCore, Microsoft Office, Exchange Server, Azure DevOps, Microsoft Dynamics, Visual Studio, Azure SDK e Azure Sphere.

Fortunatamente, nessuno di questi difetti questo mese è stato segnalato come pubblicamente noto e sfruttato attivamente in natura.

Le principali vulnerabilità emerse

Difetti non tanto o non solo per utenti privati, ma soprattutto per utenti business. Vediamo le principali correzioni.

La patch riguarda una serie di difetti di esecuzione di codice remoto in vari software come Microsoft Exchange (CVE-2020-17132), SharePoint (CVE-2020-17118 e CVE-2020-17121), Excel (CVE-2020-17123), e il software di virtualizzazione Hyper-V (CVE-2020-17095), nonché una patch per bypassare le funzionalità di sicurezza in Kerberos (CVE-2020-16996), una serie di falle nell’escalation dei privilegi in Windows Backup Engine e Windows Cloud Files Mini Driver del filtro.

La più pericolosa? Quella del software di virtualizzazione Hvper-V

Un utente malintenzionato potrebbe eseguire un’applicazione appositamente predisposta che potrebbe far sì che il sistema operativo esegua codice arbitrario quando non riesce a convalidare correttamente i dati del pacchetto“, ha osservato Microsoft.

Cosa fare?

Si consiglia vivamente agli utenti di Windows e agli amministratori di sistema di applicare le ultime patch di sicurezza per risolvere le minacce associate a questi problemi.

Come installare gli aggiornamenti

Per installare gli ultimi aggiornamenti di sicurezza, gli utenti Windows possono andare su Start> Impostazioni> Aggiornamento e sicurezza> Windows Update o selezionando Controlla aggiornamenti di Windows.

Perché le aziende devono essere seguite da esperti cyber

Stare dietro a questi aggiornamenti non è affatto semplice. Non è un semplice “schiaccia il bottone e aggiorna tutto” dobbiamo porci domande come:

  • l’aggiornamento impatterà sul parco dei pc aziendali”?
  • L’aggiornamento prevede delle incompatibilità tra software”?
  • Aggiorno Windows…ma gli altri programmi”?
  • Chi mi può avvertire della disponibilità di aggiornamenti, dei rischi e della loro urgenza“?

Con tutte le attività tipiche di questo reparto, difficilmente l’IT o un consulente esterno potranno assicurare una risposta puntuale a queste domande, esponendo un’azienda a rischi di attacchi informatici.

Una collaborazione tra IT / software house & esperti cyber

Cosa fare allora? Sicuramente separare i ruoli: l’IT, sia interno o esterno all’azienda, si occupa del fabbisogno e del funzionamento di software e applicativi di un’organizzazione. È questa la sua priorità.

Ma deve anche collaborare con un’altra entità, un esperto di cyber security, che sarà specificatamente focalizzato sulla sicurezza informatica e segnalerà tutte le vulnerabilità e i rischi a reparto IT e direzione aziendale.

Affidare la gestione di entrambe le aree a un’unica entità (l’IT) sarebbe un grave errore, poiché spesso ci si aspetta di avere a che fare con un reparto “factotum”, che tuttavia ha priorità diverse e tende a mettere in secondo piano la cyber security.

Interessato a dei consigli di cyber security per la tua azienda? Contattaci:

    Il tuo nome*

    La tua email*

    Il tuo telefono*

    La tua città

    Il tuo messaggio

    * campo obbligatorio

    Condividi:

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.