Windows 10, bug critico nel rendering dei font: meglio aggiornare subito

01 Marzo 2021 50

Il Patch Tuesday di questo mese è stato particolarmente importante per Windows 10: gli aggiornamenti correggono una vulnerabilità critica in Microsoft DirectWrite, software che si occupa del rendering ad alta qualità dei font. La falla è stata scoperta dai ricercatori di Google Project Zero: detta molto semplicemente, se un utente visita un sito con un font TrueType opportunamente codificato da un malintenzionato potrebbe causare l'esecuzione di codice da remoto e compromettere quindi l'integrità del proprio sistema.

L'interazione da parte dell'utente, come dicevamo, è minima: basta finire sul sito sbagliato - con un banner ingannevole o un link sui social, per dire - poi l'attacco si sviluppa tutto in automatico. L'API DirectWrite viene usata da una gran parte di software e browser Web, quindi il campo di attacco è molto vasto.

Stando alle informazioni ufficiali, la falla è presente su molteplici versioni di Windows 10 e Windows Server, anche le più recenti basate sulla ultima disponibile, vale a dire la 20H2. Non ci sono indicazioni che al momento ci siano exploit che sfruttano attivamente questo bug, ma diciamo che è meglio non aspettare per scoprirlo e procedere con gli aggiornamenti.

Come da prassi, Google ha divulgato pubblicamente tutti i dettagli della vulnerabilità 90 giorni dopo averla comunicata a Microsoft. Questo modus operandi, osservato da molti protagonisti del settore della sicurezza informatica, fa sì che le aziende non "abbassino la guardia" e si sbrighino a rilasciare l'aggiornamento: per ogni giorno che la falla rimane disponibile esiste la possibilità che qualcuno con intenti ben meno nobili dei ricercatori di sicurezza se ne accorga e decida di combinare danni. È un'eterna lotta contro il tempo, insomma; fortunatamente questa volta Microsoft è riuscita a rilasciare le patch con ampio anticipo.


50

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Tsaeb

ibrido plug-in, ma lo fanno in Cina.

uncletoma

grazie

Internauta

Sarà davvero brutta se in futuro spunteranno società di hackeraggio da mettere in ginocchio tutto. Brutta per chi dipende da internet.

frank700

Non ce l'ho presente.

VoltoReato

verso sé stesso, ma come in nastro di Möbius

VoltoReato

ma diesel o benzina?

frank700

Chi lo sà.

TeoCrysis

Possibile, ma adesso non c'è in progetto un successore.

mi chiedo che li tengono a fare certi "redattori" se in un articolo non ci mettono queste info che sono direi FONDAMENTALI per l'articolo stesso

frank700

Sicuramente.

frank700

Non è per sempre.

yepp
T. P.

in effetti, a me non trova nulla oggi...

ho pensato potesse essere il mio pc sfigato o, appunto, un aggiornamento già installato!

grazie per l'info! :)

Mostra 1 nuova risposta

Grazie

T. P.

vabbeh ma vuoi anche la pappa pronta?
almeno inizia chiedendo una vocale!!!
ahahahaha

MartinTech

eh le solite news incomplete

Status: Fixed (was: New)
Labels: CVE-2021-24093 Fixed-2021-Feb-9
Fixed on the February Patch Tuesday as CVE-2021-24093

(dovrebbe essere quindi stato già fixato con l'update del 9 febbraio KB4601319, OS Builds 19041.804 and 19042.804)

ErCipolla

Eh, ma è proprio quello il discorso: con quella scusa puoi rimandare all'infinito. Della serie: la falla non viene rilasciata per non "mettere in pericolo gli utenti" -> non essendo rilasciata il produttore del software se la prende comoda e dice che la patch "è in arrivo" ma in realtà ci mette mesi/anni a rilasciarla -> per tutto sto tempo la falla non si può rilasciare perché "metterebbe in pericolo gli utenti"... e così via in eterno.

Senza contare che ogni giorno che la falla non è pubblica è un giorno in più in cui non sai chi già la conosce e magari la sta usando di nascosto. Se è pubblica almeno puoi adottare misure tampone fino all'arrivo di una patch ufficiale, se sei tenuto all'oscuro ti accorgerai di avercelo in quel posto solo quando lo senti. Per quello serve un limite ferreo, per evitare tira e molla infiniti.

TeoCrysis

In realtà è il contrario, è stato pensato come ultimo Windows aggiornato a cadenza regolare.

TeoCrysis

Perché vai in crash?

Mostra 1 nuova risposta

Può anche essere ma mi pare comunque inutile mettere a rischio gli utenti così. Non è il massimo come metodo

Mostra 1 nuova risposta

Verso il prossimo major update ed oltre!!!!

Mostra 1 nuova risposta

Quale aggiornamento sarebbe? Nome e numero? E poi ci sono info in merito alla falla?

o u t a t i m e

Credo non lo sappiano nemmeno loro

csharpino

Perchè secondo te Google sa se in Microsoft (in questo caso) ci stanno lavorando, a che punto di sviluppo sono e se effettivamente non si stanno ciondolando??
Se non metti una data e soprattutto se poi non la rispetti molte aziende non si impegnerebbero nel risolvere i problemi, senza considerare che il pensare di aver avuto per 90 giorni un bug del genere attivo da utente non è per nulla una bella cosa...

efremis

Purtroppo bug e vulnerabilità esisteranno sempre.
Fortunatamente solitamente case come Microsoft ed Apple intervengono prontamente, cosa che purtroppo non tutti fanno.

Migliorate Apple music

possono dirti che è in arrivo e farti aspettare anni.

ghost

Crashiphone

Homer76

C'è una regola: passati 90 gg, si pubblica.
Se per ogni bug, dopo 90 gg ci dobbiamo sentire e capire cosa fare...il tutto perde di efficacia.
In ogni caso, il problema non è la divulgazione, ma il bug!
È estremamente probabile che il team di Google non sia l'unico a conoscerlo...

Mako

se non poni tempo limite, gli sviluppatori non danno priorità

Motoschifo

È un modo per evitare problemi, nel senso che il termine è stabilito e non prorogabile. Quindi l'autore deve correre ai ripari per sistemare le cose.
Secondo me è giusto che ci sia quel tempo, ma è sbagliato pensare di poterlo allungare a piacimento, perchè per trovare scuse credibili e comprovate bastano 10 minuti.

ErCipolla

Si può discutere sul limite dei 90gg se è tanto, poco o il giusto, ma non ha senso rimandare se l'interessato dice "stiamo facendo la patch", perché è ovvio che tutti direbbero subito "stiamo facendo la patch" per dilatare i tempi... serve che il limite sia "ferreo" proprio per evitare lassismo da parte degli sviluppatori.

UnoQualunque

Non sono mai stato d'accordo con il paragrafo finale. Qua non ho capito se Google, che ha fatto in passato, ha pubblicato la vulnerabilità nonostante la patch fosse in arrivo o addirittura fosse stata rilasciata ma ovviamente servivano i tempi tecnici per farla propagare. Un conto è se uno sviluppatore se ne frega, allora la "minaccia" di rendere pubblica la falla ci sta, ma se la patch è in arrivo o comunque ci stanno lavorando, che senso a pubblicare la falla? Non è che se la pubblicano allora per magia il rilascio avviene istantaneamente. In questi casi la pubblicazione serve solo sputt... il competitor e mettere a rischio gli utenti.

barneysmx86

"il mio android no!!1"

Raphael DeLaghetto

E bugo?

barneysmx86

Boh

Motoschifo

Per forza, manderebbe in confusione chiunque! :D

frank700

Già, pertanto riscrivo meglio: È un'associazione che non voglio fare...

Raphael DeLaghetto

Come si legge ?

barneysmx86

Era il carattere che mandava in crash gli iphone qualche anno fa

Motoschifo

Purtroppo quando scrivi software non c'è nulla di rodato, difficilmente riesci a prevedere tutto e l'unico modo per evitare errori è far fare i test alle macchine prima di ogni rilascio.
Ma spesso è semplicemente impossibile... o troppo dispendioso.
Per il momento almeno sembra riguardare solo le nuove versioni di Windows e non anche quelle vecchie.

frank700

È un'associazione che non riesco a fare... :)

frank700

Windows 10 è stato inventato come soluzione transitoria, verso cosa non so.

barneysmx86

Stavate parlando di me?! https://uploads.disquscdn.c...

Tsaeb

Windows 10GE (Gruviera Edition)

frank700

Infatti il problema non sono i font, ma l'api directwrite.

Tsaeb

non è la font il problema, ma il motore di rendering.

Raffael

Diciamo che banale è sicuramente un termini inappropriato, perché dietro si innescano diversi meccanismi, ma dovrebbero essere meccanismi rodati dal punto di vista della sicurezza...

Motoschifo

Beh forse il problema è proprio questo, pensare che un font sia qualcosa di banale

Pip

Assurdo come qualcosa di così banale come il font possa permettere l'esecuzione di codice arbitrario

Daniel

Buchi ovunque

Samsung Galaxy Book Pro 360: le nostre prime impressioni

Samsung Galaxy Book e Galaxy Book Pro ufficiali: leggeri e veloci

App e gadget low cost per imparare a suonare la chitarra durante il lockdown

La (mia) postazione da Creator: dal Desktop MSI al Monitor 5K Prestige