La scorsa settimana Microsoft ha ufficialmente cancellato gli aggiornamenti di sicurezza di febbraio per Windows e altri prodotti (incluso Office), dopo aver promesso che si sarebbe trattato solo di un ritardo. La decisione di Microsoft ha naturalmente preso in contropiede i manager IT e chi, in azienda, si occupa di sicurezza.

Il tutto nasce dallo scorso martedì, quando Microsoft aveva annunciato che avrebbe ritardato l’uscita della patch mensile con i fix di sicurezza di febbraio per un problema riscontrato all’ultimo minuto. Tutti quindi si aspettavano un ritardo di uno o due giorni al massimo sulla tabella di marcia, ma mercoledì Microsoft annunciava che gli aggiornamenti di febbraio sarebbero arrivati solo con l’update del mese prossimo, più precisamente il 14 marzo.

È la prima volta che Microsoft salta un aggiornamento di sicurezza mensile, o meglio la prima volta che lo fa pur avendo già predisposto tutto per il suo rilascio. In passato già quattro volte infatti erano saltati degli update di sicurezza (l’ultima nel 2007), ma in quei casi non c’erano patch già preparate. Qui però la questione è ben diversa, perché l’aggiornamento di febbraio era chiaramente pronto per il rilascio.

Microsoft tra l’altro non ha specificato quale sia stato il problema che ha portato prima al ritardo e poi alla cancellazione della patch di febbraio. Ecco allora che è iniziato l’inevitabile balletto delle supposizioni, con alcuni che sostenevano come un singolo problema alla patch per Windows abbia convinto Microsoft a ritirare dal rilascio anche degli altri update (come quello di Office).

aggiornamenti di sicurezza di febbraio

Questo però pare poco probabile, anche perché le patch di Office sono rilasciate separatamente da quelle di Windows. Più probabile invece, come sostiene Chris Goettl, product manager di Ivanti, che si sia trattato di un problema (e anche piuttosto grave) con l’infrastruttura del servizio degli aggiornamenti di Microsoft.

Fatto sta comunque, come sostenuto da diversi esperti, che la cancellazione della patch di febbraio colpirà negativamente diversi utenti di Windows, anche se, come fa notare sempre Goettls, non dovrebbero esserci conseguenze particolarmente gravi per gli amministratori IT, se non il bisogno di riorganizzarsi per la distribuzione dell’update previsto a marzo.

Eppure, senza le patch di sicurezza di febbraio, c’è il rischio che alcuni sistemi possano essere compromessi da vulnerabilità non ancora conosciute. Si pensi ad esempio a quella resa pubblica il 2 febbraio (l’ultima scoperta) di cui si sarebbe dovuto occupare proprio l’update di febbraio atteso lo scorso martedì.

C’è poi il rischio che l’aggiornamento del 14 marzo, proprio per il fatto che dovrà contenere due update in uno, possa in qualche modo complicare la situazione o “rompere” qualcosa, soprattutto per le versioni pre-Windows 10. Resta il fatto che, per quanto delusi e preoccupati, gli amministratori IT e in generale gli utenti di Windows non possono far altro che mettersi il cuore in pace e attendere il 14 marzo.

“Dopotutto, se Microsoft non ha un piano B, non ce l’abbiamo nemmeno noi” ha dichiarato Susan Bradley, moderatrice della mailing list PatchMangement.org.