Proprio il giorno in cui il supporto a Windows 7 cessa definitivamente e Jared Spataro, vicepresidente di Microsoft, gongola online su quanto Windows 10 non sia mai stato tanto buono, la NSA (Agenzia per la Sicurezza Nazionale USA) rivela una falla critica in Windows 10 ma che in Windows 7 non c'è.

Il bug colpisce infatti solo Windows 10 e Windows Server 2016, e si trova per la precisione nel componente crypt32.dll, una libreria il cui compito è gestire «i certificati e le funzioni crittografiche di messaging all'interno di CryptoAPI». Insomma, è un componente chiave della crittografia, e dunque della sicurezza, di Windows.

I dettagli sulla vulnerabilità non sono, per ovvi motivi, molti, ma se la NSA arriva al punto di definirla «un rischio significativo per le aziende e i sistemi che adoperano PKI (Public Key Infrastructure) per la sicurezza» la situazione è seria.

Articoli raccomandati:

Falla di BitLocker, da Microsoft uno script PowerShell per risolverla

Windows 11, bug impedisce di avviare le app preinstallate

La NSA: fate come dice Microsoft e installate la patch per EternalBlue

NSA, lo spionaggio istituzionalizzato non conviene più

Forse molti utenti non avranno familiarità con l'acronimo PKI, ma sapranno che l'infrastruttura a cui si riferisce, quella a chiave pubblica, è usatissima in Internet per verificare l'identità degli utenti dei vari servizi. Se viene vanificata, si vanifica anche buona parte della sicurezza dei sistemi cui facciamo affidamento quotidianamente.

Non a caso sempre la NSA sottolinea che «la vulnerabilità potrà non sembrare degna di nota, ma è un problema critico. I meccanismi di fiducia sono le fondamenta su cui opera Internet, e [il bug] consente a chi è in grado di sfruttare la minaccia di sovvertire tali fondamenta».

Fortunatamente, la NSA è composta da spioni ma non da incoscienti: prima di rivelare al mondo l'esistenza della falla ne ha parlato con Microsoft, che ha rilasciato la correzione necessaria nell'ultimo Patch Tuesday, quello di martedì 14 gennaio.

L'Agenzia americana sottolinea che «la patch è l'unico metodo che annulla completamente il rischio» e pertanto ogni sistema con Windows 10 o Windows Server 2016 deve essere aggiornato immediatamente. È infatti probabile che presto appaiano dei malware capaci di sfruttare il bug, causando danni molto seri.