Ieri era il secondo martedì del mese, e come da tradizione Microsoft ha avviato la distribuzione degli aggiornamenti di sicurezza per le tutte le versioni di Windows ufficialmente supportate. Gli update del Patch Tuesday vengono distribuiti in automatico tramite Windows Update, ma chi è abbastanza saggio da disabilitare il servizio e fare le cose con calma può scaricare manualmente i vari pacchetti di installazione disponibili tramite il portale Microsoft Update Catalog.
Il Patch Tuesday di dicembre 2020 corregge 58 di sicurezza individuali registrate nel database CVE, 9 delle quali classificate con livello di pericolosità massimo (“critico”), 48 “importanti” e due con pericolosità moderata. Questo mese non vi è alcuna falla 0-day da chiudere, mentre i bug più interessanti includono l’esecuzione di codice malevolo sull’host dall’interno di una VM gestita tramite HyperV (CVE-2020-17095), l’elevazione di privilegi tramite SMBv2 (CVE-2020-17096) e l’esecuzione di comandi su un PC Windows bloccato (CVE-2020-17099).
Gli aggiornamenti di sicurezza rilasciati da Microsoft a dicembre 2020 coinvolgono come al solito le diverse versioni di Windows supportate oltre a Office e Azure, Edge e Internet Explorer, Visual Studio e altri prodotti della corporation di Redmond. Il nuovo Patch Tuesday arriva dopo la fine del supporto ufficiale di Windows 7, quindi le patch che Microsoft continua a distribuire per questo OS sono destinate esclusivamente alle aziende che pagano per il supporto esteso (ESU). Il Patch Tuesday di dicembre 2020 segna altresì la fine del supporto ufficiale per Windows 1903, mentre Adobe ha contemporaneamente distribuito l’ultimo aggiornamento correttivo per Flash Player.
In totale, gli aggiornamenti rilasciati da Microsoft a dicembre 2020 ammontano a 85 download individuali al momento di scrivere. Una lista completa delle vulnerabilità corrette da Microsoft e dalle aziende partner nel Patch Tuesday del mese è consultabile a questo indirizzo.
Sul Catalogo ufficiale Microsoft sono disponibili le seguenti tipologie di pacchetti di aggiornamento per le versioni di Windows supportate:
- Aggiornamento qualitativo della sicurezza: include solo gli update distribuiti con il Patch Tuesday del mese di riferimento;
- Aggiornamento cumulativo mensile di sicurezza: include tutti gli update (di sicurezza e non) fin qui rilasciati per la versione di Windows interessata;
- Aggiornamento cumulativo: il mega-pacchetto di patch definitivo, un aggiornamento che include tutti i file modificati o aggiunti a partire dalla distribuzione ufficiale della versione di Windows di riferimento.
Patch Tuesday di dicembre 2020
Entrando nello specifico degli update rilasciati da Microsoft durante il corrente mese di dicembre 2020, i seguenti “mega-pacchetti” per l’aggiornamento di Windows sono disponibili come download diretti tramite il Catalogo Ufficiale della corporation:
Windows 7 SP1, Windows Embedded Standard 7 e Windows Server 2008 R2 (solo supporto a pagamento):
- Aggiornamento qualitativo della sicurezza KB4592503 per sistemi basati su CPU x86 e x86-64;
- Aggiornamento cumulativo mensile di sicurezza KB4592471 per sistemi basati su CPU x86 e x86-64;
Windows 8.1 e Windows Server 2012 R2:
- Aggiornamento qualitativo della sicurezza KB4592495 per sistemi basati su CPU x86 e x86-64;
- Aggiornamento cumulativo mensile di sicurezza KB4592484 per sistemi basati su CPU x86 e x86-64;
Windows 10 e Windows Server 2019:
- Aggiornamento cumulativo KB4592440 per Windows 10 1809 e sistemi basati su CPU x86, x86-64 e ARM64;
- Aggiornamento cumulativo KB4592449 per Windows 10 1903 e Windows 1909 e sistemi basati su CPU x86, x86-64 e ARM64;
- Aggiornamento cumulativo KB4592438 per Windows 10 2004 e Windows 20H2 e sistemi basati su CPU x86, x86-64 e ARM64.
Consigliamo di non “cercare” mai gli update tramite Windows Update per via manuale: la perniciosa politica di Microsoft prevede che in casi del genere gli utenti si ritrovino sul sistema aggiornamenti non testati adeguatamente, trasformandosi di fatto in beta tester volontari del nuovo codice provvisorio di Windows 10. Meglio aspettare il Patch Tuesday, anzi meglio disabilitare Windows Update, anzi meglio ancora scaricare gli aggiornamenti dal Catalogo dei download solo quando siamo pronti e installarli manualmente come consigliato in questa guida.