Microsoft sta per distribuire due patch al di fuori del ciclo tradizionale dei patch day mensili. Trattasi di una mossa di rara frequenza, solitamente adottata per porre rimedio ad una situazione di rischio estremo ed immediato per gli utenti. Il giorno delle patch “Out of Band” sarà martedì 28 Luglio.
Sebbene il problema identificato sia uno soltanto, le patch saranno due perché, come spiegato da Feliciano Intini sul Security e Virtualization Blog, trattasi di «un bollettino relativo alla famiglia di prodotti di sviluppo Microsoft Visual Studio per correggere le vulnerabilità specifiche, e un bollettino relativo a Internet Explorer per introdurre dei miglioramenti che aiutano a proteggere meglio dai rischi esposti dalle vulnerabilità di Visual Studio (in pratica si bloccano le modalità che possano usare Internet Explorer come vettore di attacco)». Non solo: «Approfittando di questo rilascio, il bollettino di Internet Explorer correggerà anche altre vulnerabilità non connesse a quelle di Visual Studio».
I dettagli relativi alle vulnerabilità non sono ancora pubbliche, ma il fatto che ad essere coinvolto dalla vulnerabilità sia Visual Studio estende potenzialmente il problema all’intero corpus delle applicazioni costruite tramite Visual Studio stesso: «vista la tipologia di bollettini si può ragionevolmente intuire che la serietà del problema sia direttamente connessa all’ampiezza dell’impatto di queste vulnerabilità, ben oltre i prodotti Microsoft, estesa alla particolare tipologia di applicazioni che, sviluppate tramite Visual Studio, possano aver redistribuito il componente vulnerabile: è per questo che si richiama l’attenzione degli sviluppatori su questo rilascio straordinario, essi dovranno valutare se le loro applicazioni sono interessate da questo problema e dovranno attrezzarsi per aggiornarle di conseguenza».
I software interessati dal problema sono Windows 2000, Windows XP e Vista; Windows Server 2003 e 2008; Internet Explorer 6, 7 e 8; Microsoft Visual Studio .NET 2003, Visual Studio 2005 e 2008; Visual C++ 2005 e 2008. L’aggiornamento fuori dal ciclo tradizionale configura uno stato di pericolosità di assoluta gravità. Il consiglio è pertanto quello di un aggiornamento sollecito delle componenti appena le patch saranno distribuite. Ogni problema di compatibilità dovrà venire in seguito, al fine di evitare situazione problematiche quanto quella che Conficker ha configurato nei mesi scorsi.