Patch Tuesday, aprile 2026: Microsoft batte ogni record con 167 vulnerabilità corrette
Microsoft ha pubblicato gli aggiornamenti di aprile 2026, portando la correzione di 167 vulnerabilità nei sistemi Windows e nei software correlati. Tra queste, uno zero-day in SharePoint Server e una falla di Windows Defender (dopo che il ricercatore aveva pubblicato il codice exploit per la frustrazione verso la risposta dell’azienda).
La vulnerabilità in SharePoint Server (CVE-2026-32201) permette agli aggressori di falsificare contenuti o interfacce fidati all’interno di ambienti SharePoint. Mike Walters, presidente e co-fondatore di Action1, ha spiegato che questa CVE può essere usata per ingannare dipendenti, partner o clienti con informazioni contraffatte, agevolando attacchi di phishing, manipolazione dati o campagne di ingegneria sociale.
Microsoft ha anche risolto BlueHammer (CVE-2026-33825), un bug di escalation dei privilegi in Windows Defender. Secondo BleepingComputer, il ricercatore che l’ha scoperto aveva pubblicato il codice exploit dopo essersi stancato della risposta di Microsoft. Will Dormann, analista di Tharros, ha confermato che il codice exploit pubblico non funziona più dopo le patch di oggi.
Satnam Narang, di Tenable, ha sottolineato che aprile 2026 è il secondo Patch Tuesday più grande mai registrato da Microsoft. Ha anche detto che la vulnerabilità zero-day corretta da Adobe con un aggiornamento d’emergenza l’11 aprile (CVE-2026-34621) è stata sfruttata attivamente almeno da novembre 2025.
Adam Barnett, di Rapid7, ha definito il totale delle patch odierne un record per la categoria: include quasi 60 vulnerabilità del browser. Barnett ha ipotizzato che l’aumento potrebbe essere collegato all’annuncio del Project Glasswing di Anthropic, un’IA capace di trovare bug in molti software, ma ha precisato che Microsoft Edge si basa su Chromium e che i maintainer di Chromium riconoscono vari ricercatori per le falle pubblicate venerdì scorso. Secondo lui, l’aumento del volume di segnalazioni è dovuto all’espansione delle capacità dell’IA.
Infine, indipendentemente dal browser usato, è importante chiuderlo e riavviarlo periodicamente per installare gli aggiornamenti. Google Chrome ha rilasciato un update all’inizio di aprile che ha corretto 21 falle, inclusa la vulnerabilità zero-day CVE-2026-5281.
Per un elenco dettagliato, consulta il SANS Internet Storm Center Patch Tuesday roundup. Se hai problemi con l’installazione, lascia un commento.
