Microsoft ha affrontato 71 vulnerabilità di sicurezza nel suo aggiornamento Patch Tuesday di marzo, di cui solo tre sono valutate come critiche. Le altre 68 sono tutte classificate “importanti”.
Tre dei bug sono elencati come zero-days pubblicamente noti, ma nessuno di loro è elencato come se fosse stato sfruttato in natura (finora).
I problemi colpiscono la gamma del portafoglio del gigante informatico, tra cui Microsoft Windows e componenti Windows, Azure Site Recovery, Microsoft Defender per Endpoint e IoT, Intune, Edge (basato su Chromium), Windows HTML Platforms, Office e componenti Office, Skype, .NET e Visual Studio, Windows RDP, SMB Server.
In particolare, la tranche contiene anche la prima patch in assoluto per la console di gioco Xbox.
Vale la pena notare che l’aggiornamento segna il secondo mese di fila con un numero sorprendentemente basso di patch critiche; infatti, l’aggiornamento Patch Tuesday di febbraio non ne ha elencato nessuno.
“Il numero di patch classificate come critiche è ancora una volta stranamente basso per questo numero di bug“, ha notato Dustin Childs, ricercatore di Trend Micro Zero-Day Initiative, in una e-mail. “Non è chiaro se questa bassa percentuale di bug è solo una coincidenza, o se Microsoft potrebbe valutare la gravità usando un calcolo diverso rispetto al passato“.
I tre bug critici, che potrebbero tutti portare all’esecuzione di codice remoto, sono:
- CVE-2022-22006: Estensioni video HEVC (valutazione CVSS di 7.8)
- CVE-2022-24501: estensioni video VP9 (valutazione CVSS di 7.8)
- CVE-2022-23277: Microsoft Exchange Server (valutazione CVSS di 8.8)
Entrambi i bug delle estensioni video, in HEVC e VP9, richiedono l’ingegneria sociale; un attaccante avrebbe bisogno di convincere una vittima a scaricare e aprire un file appositamente creato, che potrebbe portare a un crash, secondo l’advisory di Microsoft.
