Il Patch Tuesday di questo mese è stato particolarmente importante per Windows 10: gli aggiornamenti correggono una vulnerabilità critica in Microsoft DirectWrite, software che si occupa del rendering ad alta qualità dei font. La falla è stata scoperta dai ricercatori di Google Project Zero: detta molto semplicemente, se un utente visita un sito con un font TrueType opportunamente codificato da un malintenzionato potrebbe causare l’esecuzione di codice da remoto e compromettere quindi l’integrità del proprio sistema.
L’interazione da parte dell’utente, come dicevamo, è minima: basta finire sul sito sbagliato – con un banner ingannevole o un link sui social, per dire – poi l’attacco si sviluppa tutto in automatico. L’API DirectWrite viene usata da una gran parte di software e browser Web, quindi il campo di attacco è molto vasto.
Stando alle informazioni ufficiali, la falla è presente su molteplici versioni di Windows 10 e Windows Server, anche le più recenti basate sulla ultima disponibile, vale a dire la 20H2. Non ci sono indicazioni che al momento ci siano exploit che sfruttano attivamente questo bug, ma diciamo che è meglio non aspettare per scoprirlo e procedere con gli aggiornamenti.