Gli aggiornamenti cumulativi di Windows 10 di questo Patch Tuesday sono particolarmente importanti, perché chiudono quattro vulnerabilità critiche, tre delle quali 0-day. Queste ultime riguardano:
- CVE-2021-31204: .NET e Visual Studio. Possibile elevazione dei privilegi. Anche se i dettagli tecnici sono stati pubblicamente divulgati, Microsoft ritiene che al momento la falla non sia sfruttata per condurre attacchi.
- CVE-2021-31207: Exchange Server. Possibile bypassare un controllo di sicurezza. Scoperto durante la conferenza PWN2OWN 2021.
- CVE-2021-31200: Neural Network Intelligence, tool open-source per gestire routine di machine learning.
Le patch per le due versioni di Windows 10 al momento rilevanti, ovvero la 2004 e la 20H2, sono distribuite attraverso lo stesso pacchetto di installazione, contrassegnato con il codice KB5003173. Includono i seguenti highlight:
- Miglioramenti alla sicurezza quando Windows compie operazioni base
- Miglioramenti alla sicurezza nella gestione di contenuti OLE
- Miglioramenti alla sicurezza dei driver Bluetooth.
A livello qualitativo, Microsoft ha aggiornato lo stack software di Windows Update, in modo da garantire la massima sicurezza e affidabilità in fase di ricezione e installazione delle patch. È interessante osservare che, al contrario di quanto ipotizzato, non sembrano ancora inclusi i numerosi fix distribuiti con l’aggiornamento Preview di fine aprile, che risolvevano problematiche emerse in scenari d’uso prettamente consumer, come il gaming e la riproduzione di video.