Microsoft Security Report 2013: 92 patch in 12 mesi

Il documento contine le statistiche sulle vulnerabilità dei prodotti Microsoft e in quelli di altre aziende, oltre ai vari programmi relativi alla sicurezza.
Microsoft Security Report 2013: 92 patch in 12 mesi
Il documento contine le statistiche sulle vulnerabilità dei prodotti Microsoft e in quelli di altre aziende, oltre ai vari programmi relativi alla sicurezza.

Come ogni anno, alla chiusura dell’esercizio finanziario del 2013, Microsoft ha pubblicato un report dettagliato che contiene dati e statistiche relativi ai bollettini di sicurezza rilasciati nel periodo luglio 2012-giugno 2013 e fornisce informazioni sui vari programmi gestiti dal Microsoft Security Response Center (MSRC). In 12 mesi, l’azienda di Redmond ha rilasciato 92 patch per un totale di 246 vulnerabilità, il numero più alto dal 2007 ad oggi.

Nel MSRC Progress Report 2013 Microsoft spiega chiaramente cosa si intende per vulnerabilità e quali passi deve seguire l’utente per installare gli ultimi aggiornamenti. I software sono scritti da esseri umani, quindi non esisterà mai un’applicazione perfetta. Alcuni bug provocano solo malfunzionamenti, altri invece possono essere sfruttati da malintenzionati per attaccare il computer dell’ignara vittima. Dopo aver rilevato la vulnerabilità (o ricevuto segnalazioni da terze parti), Microsoft sviluppa, testa e rilascia una patch di sicurezza, solitamente il secondo martedì di ogni mese. Solo in due occasioni, tra luglio 2012 e giugno 2013, sono state distribuite due patch “out-of-band“, entrambe per Internet Explorer: MS12-063 (21 settembre 2012) e MS13-008 (14 gennaio 2013). Per quest’ultimo bollettino, il report include un’interessante “dietro le quinte” che illustra tutta la procedura seguita fino alla pubblicazione della patch.

Microsoft però non si occupa solo della sicurezza di Windows, Office e Internet Explorer, ma da cinque anni ha attivato il programma Microsoft Vulnerability Research (MSVR), con il quale i dipendenti e i partner dell’azienda possono informare le altre software house dell’esistenza di vulnerabilità nei loro prodotti. Nei 12 mesi analizzati sono stati pubblicati 21 advisory (solo dopo il rilascio delle patch) per un totale di 48 vulnerabilità.

Il documento contiene inoltre dati relativi al programma Internet Explorer 11 Preview Bug Bounty, avviato a fine giugno e scaduto 5 giorni fa, che assegna un premio di 11.000 dollari ai ricercatori di sicurezza che scoprono un bug nell’ultima versione del browser integrata in Windows 8.1. Microsoft comunica che la somma è stata pagata ad una sola persona.

Ti consigliamo anche

Link copiato negli appunti