Microsoft ha pubblicato un aggiornamento di protezione che va a risolvere una vulnerabilità legata allo "spoofing" nella sua app Mail, integrata nel sistema operativo installato su Microsoft Surface, che potrebbe essere utilizzata per ingannare gli utenti facendogli credere di essere su un sito web sicuro mentre stanno invece visitando un indirizzo fraudolento.
La vulnerabilità può essere utilizzata per ottenere dalle vittime le credenziali di account e altri dati sensibili, ha spiegato Microsoft nell'avviso pubblicato martedì. Il gigante del software ha assegnato a questo aggiornamento della protezione un rating "moderato". L'avviso si conclude così: "Microsoft consiglia ai clienti che utilizzano questo software di installare l'aggiornamento quanto prima utilizzando il Windows Apps Store e la funzione di aggiornamento dell’applicazione".
Il dispositivo non è niente male e il numero di app sta lentamente crescendo. Certo, passerà ancora un po' di tempo prima che diventi un target appetibile per gli hacker...
Chester Wisniewski, Senior Security Adviser di Sophos, ha detto che la vulnerabilità scovata in Windows Mail è aggravata dal fatto che ciò avviene su un dispositivo tablet o mobile, che secondo Wisniewski, gli utenti possono essere più propensi a fare clic su un link. "È sempre più difficile affrontare questo tipo di problemi", ha detto Wisniewski al sito CRN.
"Il problema è che la maggior parte dei protocolli di Internet, incluse le e-mail, sono costruite su un approccio 'di fuducia' e non di sicurezza, ma di questi tempi non ti puoi fidare di tutto quello che transita sul web". La patch di sicurezza emessa martedì da Microsoft è stata predisposta per aggiornare le applicazioni Mail, Calendar, People and Messaging.
Oltre alla correzione dei bug sono state aggiunte modifiche e miglioramenti delle funzionalità. L'aggiornamento ha un impatto "pesante" soprattutto su Calendar, visto che è stato rimosso il supporto per la sincronizzazione con Google Calendar. Come spiega Microsoft, la funzione di sincronizzazione non è più supportata perché Google ha rimosso la compatibilità con Exchange ActiveSync dai suoi server.