Con l’ultimo Patch Tuesday, Microsoft ha risolto la vulnerabilità nota come Follina di cui si è tornato a parlare negli scorsi giorni, a distanza di circa un paio di anni dalla prima scoperta. Ricordiamo brevemente che si tratta di un problema relativo all’applicazione MSDT.exe, che per una serie di ragioni permette di eseguire codice non autorizzato da remoto richiedendo poca interazione da parte dell’utente del computer vittima.
Lo scorso 30 maggio Microsoft aveva infine classificato il bug come un problema di sicurezza vero e proprio, attribuendole un indice di criticità di 7,8 su 10, ma non aveva condiviso informazioni precise sulle tempistiche di distribuzione di una correzione. Ora sappiamo che è inclusa nelle patch di giugno, che sono in distribuzione per tutte le versioni coinvolte di Windows, dalla 7 (naturalmente solo per chi ha acquistato il pacchetto ESU, Extended Security Updates) all’attuale 11.
Tutto è bene quel che finisce bene? Non proprio. Sempre in relazione a MSDT.exe, negli scorsi giorni è emersa una nuova vulnerabilità 0-day soprannominata DogWalk che quest’ultimo Patch Tuesday non ha risolto. Sintetizzando molto, è possibile far scaricare a MSDT un software fraudolento nella cartella di esecuzione automatica del sistema operativo, in modo tale che venga eseguito suo al prossimo avvio. Anche in questo caso, Microsoft ha detto che la falla non è particolarmente urgente e non le ha assegnato un codice CVE. A questo punto non è chiaro, di nuovo, se e quando la società risolverà il problema.