Aggiornamenti recenti Maggio 14th, 2024 2:48 PM
Feb 21, 2017 Marco Schiaffino News, Prodotto, RSS, Vulnerabilità 1
Se la distanza tra il mondo ideale e quello reale si misura anche nelle piccole cose, figuriamoci in quelle grandi. E visto che la “leale cooperazione” tra i big del mondo hi-tech non fa eccezione, ecco che Google e Microsoft rischiano finire di nuovo ai ferri corti.
La pietra dello scandalo è una vulnerabilità dei sistemi Microsoft che Google ha deciso di rendere pubblica prima che sia disponibile l’aggiornamento che la corregge. Uno sgarbo identico a quello che aveva mandato su tutte le furie il vice presidente Terry Myerson 3 mesi fa, quando è andato in onda lo stesso copione.
Protagonista della vicenda è il (solito) famigerato Project Zero di Google, il team di ricercatori di sicurezza che si attengono a una rigorosa policy nella pubblicazione delle informazioni relative ai bug: le aziende hanno 90 giorni di tempo dalla prima comunicazione dell’esistenza del bug per rilasciare gli aggiornamenti. Dopo il termine, la vulnerabilità viene resa pubblica.
Peccato che, sostengono dalle parti di Microsoft, questa “rigidità” finisca per fare il gioco dei pirati informatici, che hanno il tempo di mettere a punto exploit e malware che sfruttano le falle di sicurezza prima che gli utenti abbiano a disposizione uno strumento per contrastarli.
In questo caso, però, Microsoft sembra avere poco di cui lamentarsi. La vulnerabilità in questione riguarda la Windows GDI (Graphics Device Interface) che fa riferimento a gdi32.dll ed è una libreria che consente alle applicazioni di utilizzare elementi grafici e testuali sia sul monitor che sulle stampanti locali.
Stando al report di Mateusz Jurczyk, il ricercatore di Google che ha individuato il bug, la vulnerabilità consentirebbe di utilizzare un Enhanced MetaFile (EMF) per leggere il contenuto della memoria di sistema.
Nello scenario di attacco descritto dall’analista, il file EMF può essere incorporato in una pagina Web o inserito in un documento di Office e l’impatto dell’exploit varia a seconda del tipo di dati in memoria e della loro collocazione. Insomma: qualcosa che a prima vista non sembra avere un impatto devastante per la sicurezza di Windows.
La lievità del problema spiegherebbe anche la strana vicenda che ha portato alla pubblicazione dei dettagli da parte di Google. Stando a quanto riportato sul blog dello Project Zero, infatti, Jurczyk avrebbe comunicato una prima volta la presenza della falla nel marzo 2016.
Gli aggiornamenti rilasciati da Microsoft nel giugno 2016, però, non avrebbero risolto del tutto il problema e Jurczyk avrebbe quindi ripresentato un report lo scorso novembre momento dal quale Microsoft avrebbe avuto i canonici 90 giorni per pubblicare l’update.
La pianificazione per il rilascio degli aggiornamenti di Windows, in realtà, prevedeva che la patch fosse resa disponibile in tempo utile, cioè con la tornata di aggiornamenti che avrebbero dovuto essere pubblicata lo scorso 14 febbraio.
Microsoft, però, ha deciso di rinviare il suo “Patch Tuesday” a causa, a quanto pare, di un problema dell’ultimo minuto. Di qui lo sforamento del termine e la conseguente disclosure a opera del Project Zero team. Per il momento, al fattaccio non sembra essere seguita nessuna reazione di Microsoft.
Mag 14, 2024 0
Mag 10, 2024 0
Mag 08, 2024 0
Mag 07, 2024 0
Mag 14, 2024 0
Mag 13, 2024 0
Mag 10, 2024 0
Mag 09, 2024 0
Mag 14, 2024 0
Dalla sua prima identificazione nell’aprile 2022 a...Mag 10, 2024 0
A partire dallo scorso gennaio e fino a metà marzo, MITRE...Mag 09, 2024 0
I sistemi Linux stanno diventando sempre più popolari e...Mag 08, 2024 0
Le aziende italiane continuano a essere uno degli obiettivi...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft: tra...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Mag 14, 2024 0
Apple e Google hanno annunciato la disponibilità di...Mag 14, 2024 0
Dalla sua prima identificazione nell’aprile 2022 a...Mag 13, 2024 0
Nell’ultima settimana, il CERT-AGID ha identificato e...Mag 10, 2024 0
Microsoft ha deciso di gestire le vulnerabilità DNS...Mag 09, 2024 0
Le campagne sfruttano le vulnerabilità dei plugin di...
One thought on “Falla in Windows e Google la pubblica prima della patch”