Microsoft corregge un numero record di falle: due critiche permettono di prendere il controllo di Windows
Il "martedì delle patch" di giugno ha sistemato circa 200 vulnerabilità, tra cui due gravissime (punteggio 9,8) che consentono l'esecuzione di codice da remoto senza autenticazione.
Ogni secondo martedì del mese Microsoft pubblica i suoi aggiornamenti di sicurezza, il cosiddetto "Patch Tuesday". Quello di giugno è stato eccezionale per dimensioni: circa 200 vulnerabilità corrette in un colpo solo, un numero da record.
A preoccupare non è tanto la quantità quanto la gravità di due falle, entrambe con il punteggio massimo di pericolosità di 9,8 su 10. La prima, CVE-2026-45657, risiede nel cuore del sistema operativo, il kernel di Windows; la seconda, CVE-2026-47291, nel componente HTTP.sys che gestisce le richieste web. Entrambe consentono a un attaccante di eseguire codice da remoto senza autenticazione e senza alcuna interazione da parte della vittima — la combinazione più temuta, perché apre la strada alla diffusione automatica come un verme informatico.
È un promemoria di un principio elementare: aggiornare non è un'incombenza fastidiosa, è la prima linea di difesa. Le falle critiche nei sistemi più diffusi sono il bersaglio preferito di criminali e gruppi statali, che corrono a sfruttarle prima che le patch vengano applicate. La finestra tra la pubblicazione di una correzione e la sua installazione è esattamente il tempo in cui si gioca la sicurezza di un'organizzazione.
