In questa stagione di vulnerabilità zero-day, molte aziende cercano di fare l’impossibile per evitare l’accesso non autorizzato nei dati dei propri utenti. E così anche Microsoft, anche se il suo comportamento è alquanto strano.
Microsoft ha rilasciato patch per correggere le vulnerabilità zero-day, ma non dirà se questi zero-day siano stati sfruttati per prendere di mira i suoi prodotti.
Il silenzio di Microsoft sugli zero-day
Che abbia comunque provveduto a correggere le vulnerabilità zero-day è innegabile. Sempre TechCrunch, riporta l’uscita di queste patch in due popolari librerie open source che interessano diversi prodotti Microsoft, tra cui Skype, Teams e il suo browser Edge.
Le due vulnerabilità, note come zero-day perché gli sviluppatori non hanno avuto preavviso per correggere i bug, sono state scoperte il mese scorso con l’obiettivo di diventare spyware per tutte le potenziali vittime.
Nonostante l’implementazione di queste soluzioni, un portavoce di Microsoft ha rifiutato di dire se i suoi prodotti fossero stati sfruttati in modo selvaggio o se l’azienda ha la capacità di saperlo. Pertanto, non è chiaro se gli hacker siano riusciti a sfruttarlo contro gli utenti dei prodotti Microsoft.
La stagione delle vulnerabilità
Col ritorno dello spyware Pegasus, molti servizi sono finiti in preda agli hacker. Come accaduto col bug nella vulnerabile libreria webp che Apple integra nei suoi prodotti. Sfruttato senza richiedere alcuna interazione da parte del proprietario del dispositivo. Apple ha implementato correzioni di sicurezza per iPhone, iPad, Mac e orologi, per evitare il peggio.
E così anche Google, che fa affidamento sulla libreria webp di Chrome e di altri prodotti, ha iniziato a correggere il bug all’inizio di settembre per proteggere i propri utenti. E così anche Mozilla, che ha corretto il bug nelle sue app, sottolineando che Mozilla era a conoscenza del bug, sfruttato in altri prodotti.
Non è assolutamente il miglior periodo in cui inserire i propri dati personali in un cellulare smartphone. Metti caso che tu voglia registrare i dati del tuo conto corrente: in un colpo solo rischi di ritrovarti col conto corrente vuoto.
