Cinquecentosettanta correzioni in un solo martedì
Il Microsoft Security Response Center ha pubblicato l'aggiornamento di luglio martedì 14 luglio, e l'elenco non si è fermato dove tutti se lo aspettavano. Microsoft ha corretto 570 vulnerabilità in un solo rilascio. Il record precedente, fissato sei settimane prima a giugno, era di 206. Cinquantanove delle falle di luglio sono classificate come critiche e 48 di queste consentono l'esecuzione di codice da remoto. La ripartizione completa arriva a 254 falle di elevazione dei privilegi, 145 di esecuzione di codice da remoto, 102 di divulgazione di informazioni, 35 di negazione del servizio, 17 aggiramenti di funzioni di sicurezza e 16 falle di spoofing. Il totale non comprende le falle di Chromium che Edge eredita.
Perché conta. Una finestra mensile di patch è una quantità fissa di ore di lavoro. Il numero di voci da farci passare è quasi triplicato, e il fornitore ha messo per iscritto che non si tratta di un picco isolato. Ogni processo che presuppone che un amministratore possa leggere l'elenco, pesare ogni voce e decidere si è rotto martedì.
Due sono già usate contro ADFS e SharePoint
Tre delle 570 sono zero-day e due di queste sono sotto attacco attivo. CVE-2026-56155 è una falla di elevazione dei privilegi in Active Directory Federation Services, dove un controllo degli accessi non abbastanza granulare permette a un attaccante autorizzato di alzare i propri privilegi in locale. CVE-2026-56164 è una falla di elevazione dei privilegi in SharePoint Server, dove un controllo di autenticazione mancante su una funzione critica permette a un attaccante non autenticato di alzare i privilegi attraverso la rete. La terza, CVE-2026-50661, è un aggiramento della funzione di sicurezza di BitLocker già divulgato pubblicamente.
Nessuna delle due falle sfruttate è esotica, e il punto è proprio questo. Active Directory Federation Services è la macchina che emette i vostri token di federazione. In SharePoint stanno i contratti, le carte del consiglio e gli elenchi dei clienti. Chi alza i privilegi su uno dei due non ha bisogno di un secondo exploit per arrivare al resto. Se ne gestite uno nella vostra sede, sono le uniche due voci dell'elenco di luglio che richiedono una decisione oggi. L'ACN pubblica di norma un avviso dedicato quando una falla di questo tipo risulta già sfruttata.
L'aggiramento di BitLocker colpisce una difesa giuridica, non un portatile
CVE-2026-50661 permette a un attaccante con accesso fisico di arrivare ai dati su un volume cifrato. Letto come problema tecnico, è un difetto del dispositivo che richiede di avere la macchina in mano. Letto come problema europeo di conformità, è un'altra cosa. L'articolo 34 del GDPR stabilisce che il titolare non deve comunicare la violazione agli interessati quando i dati esposti sono stati resi incomprensibili a chi non è autorizzato, e la cifratura completa del disco è la ragione per cui la maggior parte dei portatili persi o rubati non diventa mai un incidente da notificare.
La conseguenza. Quel ragionamento regge finché regge la cifratura. Un aggiramento pubblicato lo rende discutibile, e ora l'argomento porta un numero CVE che qualsiasi autorità di controllo può cercare. Il termine di 72 ore dell'articolo 33 non si ferma mentre voi definite la vostra posizione. Chi presenta BitLocker come la propria risposta a un dispositivo perduto dovrebbe avere questa patch sul parco macchine prima che sparisca il prossimo portatile, e dovrebbe poterne dimostrare la data.
Microsoft dice che la piena è il nuovo punto di partenza
Il salto non è un brutto mese di codice. Il 9 luglio, cinque giorni prima del rilascio, Microsoft ha pubblicato sul Windows Experience Blog un intervento in cui spiega di aver fatto girare sull'intera base di codice di Windows un sistema di intelligenza artificiale chiamato MDASH, la sua struttura di scansione agentica a più modelli. MDASH analizza i binari critici e convalida ciò che trova con più modelli. Il primo raccolto pubblico, a maggio, sono stati 16 CVE fino ad allora sconosciuti, quattro dei quali falle critiche di esecuzione di codice da remoto in componenti centrali come lo stack TCP/IP del kernel, il servizio IKEv2, Netlogon e la libreria dell'API DNS. Microsoft ha detto ai clienti senza giri di parole di aspettarsi un volume più alto di aggiornamenti di sicurezza a ogni rilascio.
Non riguarda un solo fornitore. Chrome 150 è uscito con 433 correzioni di sicurezza. Adobe è passata a due rilasci al mese e Mozilla a un ritmo di due settimane. Il settore ha meccanizzato la scoperta dei propri difetti e ha tenuto il passo nel consegnarveli. La vostra capacità di assorbirli non si è mossa di un millimetro.
Cambiate la metrica prima di cambiare il calendario
L'istinto è chiedere più ore per le patch. È la leva sbagliata, perché ora l'ingresso non ha tetto. La risposta praticabile consiste nello smettere di trattare l'elenco dei CVE come una coda da smaltire e cominciare a trattarlo come un segnale da filtrare. Due filtri fanno quasi tutto il lavoro: la falla è sfruttata, e il sistema colpito è raggiungibile dall'esterno. Tre delle 570 falle hanno superato il primo filtro questo mese. Quello sì che è un elenco che una persona riesce davvero a leggere.
La conclusione. La metrica per il consiglio deve muoversi con esso. Una percentuale di copertura delle patch misura ormai lo scanner di Microsoft e non le vostre difese, e ogni mese apparirà peggiore pur significando meno. Riportate invece il tempo impiegato a correggere le falle sfruttate e quelle esposte a internet. Quel numero è vostro, è abbastanza piccolo da poterlo difendere ed è l'unico che interessa a un attaccante.
Da leggere ora: Ruotate ogni segreto che Grok Build abbia mai visto | Microsoft anticipa al 2029 la scadenza quantum



