Urgent Patching Time: Un triste febbraio 2025
Aggiornamenti di Sicurezza di Febbraio: Zero-Day e Vulnerabilità Critiche
Per tenerci impegnati a Febbraio e San Valentino, Microsoft, Apple, Google e Adobe sembrano essersi accordati, rilasciando numerosi aggiornamenti volti a risolvere diverse vulnerabilità, tra cui alcune falle zero-day attivamente sfruttate.
L’elenco è massivo e merita un riassunto per snellire i lavori, oltre ad una riflessione su quanto sia estenuante e continua la gara tra attaccanti e difensori.
Microsoft: Zero-Day in Windows e Attacchi Attivi
L’11 febbraio, Microsoft ha distribuito aggiornamenti per correggere 56 vulnerabilità, tra cui due zero-day attivamente sfruttate.
Un pacchetto sicuramente meno corposo rispetto a gennaio, ma decisamente importante per l’entità delle falle risolte.
Tra queste, la CVE-2025-21418, una vulnerabilità di buffer overflow presente in tutti i sistemi Windows supportati, a bassa complessità di attacco e che non richiede interazione dell’utente, dovrebbe essere considerata una priorità da allarme rosso.
Un’altra vulnerabilità critica, siglata CVE-2025-21391, riguarda Windows Storage e permette l’eliminazione di file su sistemi compromessi senza interazione dell’utente.
Apple: Correzione di un Zero-Day in iOS
Apple ha rilasciato iOS 18.3.1 per correggere CVE-2025-24200, una vulnerabilità zero-day che veniva sfruttata attivamente negli attacchi.
Prima di questa patch era possibile estrarre dati o sbloccare un device tramite connessione usb anche se questa fosse stata settata in modalità protetta.
Adobe: 45 Vulnerabilità Risolte
Adobe ha rilasciato aggiornamenti per diversi prodotti, tra cui InDesign, Commerce, Substance 3D Stager, InCopy, Illustrator, Substance 3D Designer e Photoshop Elements, risolvendo un totale di 45 vulnerabilità di sicurezza.
Google: Aggiornamenti per Chrome e Android
Google ha distribuito aggiornamenti di sicurezza per Chrome e per il sistema operativo Android. L’update di febbraio per Android ha risolto 47 vulnerabilità, tra cui CVE-2024-53104, una falla critica nel driver USB Video Class (UVC) del kernel Linux con un punteggio CVSS di 7,8, che consente l’escalation dei privilegi e potrebbe essere sfruttata per eseguire codice o causare crash.
Qualcomm, produttore di chipset, ha risolto CVE-2024-45569, una vulnerabilità critica con punteggio CVSS di 9,8 che colpisce i suoi componenti WLAN e potrebbe permettere l’esecuzione di codice remoto. Questo difetto rappresenta un rischio significativo per i dispositivi Android che impiegano quella componentistica.
Patchare, gente, Patchare!
Gli aggiornamenti di febbraio mettono in evidenza non solo la continua corsa tra sviluppatori e attori malevoli nel trovare e correggere falle di sicurezza, ma anche la difficoltà nel restare aggiornati e nel proteggere perimetri senza politiche economiche ed educative adeguate.
Nel frattempo, aggiorniamo i sistemi…
Fonti:
