La prima patch dell’anno per il mondo Microsoft è stata distribuita. Trattasi dell’unico aggiornamento previsto in occasione del primo patch day del 2009 e per questo motivo il tutto passa agli annali sotto il nome di MS09-001. Si consiglia l’installazione del pacchetto tramite aggiornamento con Microsoft Update.
La patch è unica, ma risolve tre vulnerabilità che indicano una pericolosità critica per il problema complessivo identificato. Spiega nel dettaglio Feliciano Intini sul proprio Security Blog dedicato alla sicurezza Microsoft: «sul protocollo SMB in Windows […]: 2 vulnerabilità con severity aggregata Critical di tipo Remote Code Execution (RCE) ed una vulnerabilità Moderate di tipo Denial of Service (DoS), sfruttabili tramite l’invio in modo anonimo di pacchetti di rete sul protocollo SMB (TCP/139 e TCP/445). Anche nel caso delle due vulnerabilità di tipo RCE, l’analisi di rischio rivela che la possibilità di realizzare un exploit funzionante è solo teorica, e di fatto si riesce solo a realizzare un attacco di tipo DoS anche in questi due casi […]. La differenza di severity per le versioni di Windows Vista e Windows Server 2008 (per i quali è Moderate) è giustificata dal fatto che per queste versioni il file sharing è disabilitato by default».
Come originariamente indicato nella notifica preventiva che anticipa ogni singolo patch day, Microsoft ha spiegato che ad essere coinvolti dal problema fossero i sistemi Windows 2000 (critical), Windows XP (critical), Windows Server 2003 (critical), Windows Vista (moderate) e Windows Server 2008 (moderate). Eric Schultze, esperto sentito da InfoWorld, rincara la dose sottolineando la particolare gravità dell’aggiornamento proposto (soprattutto nel contesto delle reti azientali) ed usa i nomi “Blaster” e “Sasser” per mandare meglio a segno il proprio messaggio: la pericolosità dei tre bug sarebbe estrema ed il rischio di vedere presto codice maligno in circolazione sarebbe (quasi per logica conseguenza) concreto. Tale opinione, in ogni caso, contrasta con il giudizio espresso dal gruppo di Redmond: il grado 3 nell’apposita scala di giudizio degli exploit indica una probabilità estremamente bassa di vedere il bug preso di mira da un vero codice di exploit che possa fare da base per eventuali malware successivi.
Nel frattempo anche Windows 7 vede distribuita la sua prima patch. Il problema è insito, come noto fin dalle prime installazioni del nuovo sistema operativo in beta release, nell’uso dei file MP3: Windows 7 ne minacciava l’integrità ed una patch era pronta per l’installazione manuale fin dai giorni scorsi. Con il primo patch day del 2009, però, la patch viene elargita anche in forma automatica, inaugurando così il ciclo di aggiornamento di Windows 7 fin dai suoi primi vagiti. Nessun intervento, però, viene suggerito in merito ai bug che affliggevano le versioni precedenti del sistema operativo e che sono state corrette con il MS09-001: Microsoft spiega che non interverrà se non in caso di estrema necessità, dunque la patch per il problema specifico giungerà agli utenti direttamente inclusa all’interno della prossima major release.