Falla in Windows e Google la pubblica prima della patch

Feb 21, 2017 Marco Schiaffino News, Prodotto, RSS, Vulnerabilità 1

Per la seconda volta in pochi mesi il famigerato Project Zero team di Google rende pubblica una falla di Windows per cui non è ancora disponibile il fix.

Se la distanza tra il mondo ideale e quello reale si misura anche nelle piccole cose, figuriamoci in quelle grandi. E visto che la “leale cooperazione” tra i big del mondo hi-tech non fa eccezione, ecco che Google e Microsoft rischiano finire di nuovo ai ferri corti.

La pietra dello scandalo è una vulnerabilità dei sistemi Microsoft che Google ha deciso di rendere pubblica prima che sia disponibile l’aggiornamento che la corregge. Uno sgarbo identico a quello che aveva mandato su tutte le furie il vice presidente Terry Myerson 3 mesi fa, quando è andato in onda lo stesso copione.

Protagonista della vicenda è il (solito) famigerato Project Zero di Google, il team di ricercatori di sicurezza che si attengono a una rigorosa policy nella pubblicazione delle informazioni relative ai bug: le aziende hanno 90 giorni di tempo dalla prima comunicazione dell’esistenza del bug per rilasciare gli aggiornamenti. Dopo il termine, la vulnerabilità viene resa pubblica.

Peccato che, sostengono dalle parti di Microsoft, questa “rigidità” finisca per fare il gioco dei pirati informatici, che hanno il tempo di mettere a punto exploit e malware che sfruttano le falle di sicurezza prima che gli utenti abbiano a disposizione uno strumento per contrastarli.

In questo caso, però, Microsoft sembra avere poco di cui lamentarsi. La vulnerabilità in questione riguarda la Windows GDI (Graphics Device Interface) che fa riferimento a gdi32.dll ed è una libreria che consente alle applicazioni di utilizzare elementi grafici e testuali sia sul monitor che sulle stampanti locali.

Stando al report di Mateusz Jurczyk, il ricercatore di Google che ha individuato il bug, la vulnerabilità consentirebbe di utilizzare un Enhanced MetaFile (EMF) per leggere il contenuto della memoria di sistema.

Uomo avvisato mezzo salvato… ma il rigore del Project Zero team di Google in passato ha suscitato le proteste di Microsoft.

Nello scenario di attacco descritto dall’analista, il file EMF può essere incorporato in una pagina Web o inserito in un documento di Office e l’impatto dell’exploit varia a seconda del tipo di dati in memoria e della loro collocazione. Insomma: qualcosa che a prima vista non sembra avere un impatto devastante per la sicurezza di Windows.

La lievità del problema spiegherebbe anche la strana vicenda che ha portato alla pubblicazione dei dettagli da parte di Google. Stando a quanto riportato sul blog dello Project Zero, infatti, Jurczyk avrebbe comunicato una prima volta la presenza della falla nel marzo 2016.

Gli aggiornamenti rilasciati da Microsoft nel giugno 2016, però, non avrebbero risolto del tutto il problema e Jurczyk avrebbe quindi ripresentato un report lo scorso novembre momento dal quale Microsoft avrebbe avuto i canonici 90 giorni per pubblicare l’update.

La pianificazione per il rilascio degli aggiornamenti di Windows, in realtà, prevedeva che la patch fosse resa disponibile in tempo utile, cioè con la tornata di aggiornamenti che avrebbero dovuto essere pubblicata lo scorso 14 febbraio.

Microsoft, però, ha deciso di rinviare il suo “Patch Tuesday” a causa, a quanto pare, di un problema dell’ultimo minuto. Di qui lo sforamento del termine e la conseguente disclosure a opera del Project Zero team. Per il momento, al fattaccio non sembra essere seguita nessuna reazione di Microsoft.

Condividi l'articolo