Una volta al mese, di martedì, Microsoft rilascia gli aggiornamenti per i propri sistemi operativi chiudendo quelle falle che ne compromettono la sicurezza.

Due sono le vulnerabilità corrette con il patch day di novembre.

Una, descritta nel bollettino Ms08-69, riguarda la falla peggiore (classificata come critica): a causa di un bug nei Microsoft Xml Core Services, i sistemi da Windows 2000 a Windows Server 2008, passando per Xp Sp3 e Vista, sono esposti all'esecuzione di codice da remoto.

Se l'utente non possiede diritti amministrativi (sebbene sarebbe bello sapere quanti siano gli utenti che riescono a lavorare con Windows senza i privilegi dell'account Administrator), la falla desta ancora meno preoccupazione: i danni possibili sono molto limitati.

Ma in realtà quest'ultimo bug deve essere proprio insignificante se, come segnala PcWorld, Microsoft ha ritenuto di poter aspettare più 7 anni prima di risolverlo.

La prima volta che è stato segnalato, infatti, è datata marzo 2001: un hacker, Josh Buchbinder, scoprì la falla e pubblicò il codice necessario per portare l'attacco.

Da allora sono nati stati anche scritti dei software, tra cui un modulo per Metasploit, in grado di sfruttare la vulnerabilità e prendere da remoto il controllo di un Pc senza la necessità di conoscere la password

Probabilmente Microsoft ha pensato che, visto che un firewall è sufficiente per frustrare ogni tentativo di violazione, gli utenti potevano anche aspettare un po' prima che il problema venisse risolto.

Tuttavia diversi esperti di sicurezza, tra cui Eric Schultze di Shavlik Technologies, hanno fatto notare come all'interno di una rete aziendale, dove è normale la condivisione di file e stampanti, la presenza di una falla come questa è potenzialmente molto pericolosa, se non addirittura critica.

In ogni caso, sette anni (e mezzo) per una patch sono davvero un po' troppi.