Aggiornamenti recenti Aprile 17th, 2025 9:30 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Migliaia di chiavi AWS usate in un attacco ransomware
- Aggiornato: Addio a CVE – il governo U.S.A. (sospende) riprende i finanziamenti per il programma
- Defender for Endpoint bloccherà gli IP sconosciuti per impedire il movimento laterale
- Slopsquatting: quando l’IA consiglia pacchetti che non esistono
- Cambiare password di admin da remoto: la nuova vulnerabilità di FortiSwitch
Falla in Windows e Google la pubblica prima della patch
Per la seconda volta in pochi mesi il famigerato Project Zero team di Google rende pubblica una falla di Windows per cui non è ancora disponibile il fix.
Se la distanza tra il mondo ideale e quello reale si misura anche nelle piccole cose, figuriamoci in quelle grandi. E visto che la “leale cooperazione” tra i big del mondo hi-tech non fa eccezione, ecco che Google e Microsoft rischiano finire di nuovo ai ferri corti.
La pietra dello scandalo è una vulnerabilità dei sistemi Microsoft che Google ha deciso di rendere pubblica prima che sia disponibile l’aggiornamento che la corregge. Uno sgarbo identico a quello che aveva mandato su tutte le furie il vice presidente Terry Myerson 3 mesi fa, quando è andato in onda lo stesso copione.
Protagonista della vicenda è il (solito) famigerato Project Zero di Google, il team di ricercatori di sicurezza che si attengono a una rigorosa policy nella pubblicazione delle informazioni relative ai bug: le aziende hanno 90 giorni di tempo dalla prima comunicazione dell’esistenza del bug per rilasciare gli aggiornamenti. Dopo il termine, la vulnerabilità viene resa pubblica.
Peccato che, sostengono dalle parti di Microsoft, questa “rigidità” finisca per fare il gioco dei pirati informatici, che hanno il tempo di mettere a punto exploit e malware che sfruttano le falle di sicurezza prima che gli utenti abbiano a disposizione uno strumento per contrastarli.
In questo caso, però, Microsoft sembra avere poco di cui lamentarsi. La vulnerabilità in questione riguarda la Windows GDI (Graphics Device Interface) che fa riferimento a gdi32.dll ed è una libreria che consente alle applicazioni di utilizzare elementi grafici e testuali sia sul monitor che sulle stampanti locali.
Stando al report di Mateusz Jurczyk, il ricercatore di Google che ha individuato il bug, la vulnerabilità consentirebbe di utilizzare un Enhanced MetaFile (EMF) per leggere il contenuto della memoria di sistema.
Uomo avvisato mezzo salvato… ma il rigore del Project Zero team di Google in passato ha suscitato le proteste di Microsoft.
Nello scenario di attacco descritto dall’analista, il file EMF può essere incorporato in una pagina Web o inserito in un documento di Office e l’impatto dell’exploit varia a seconda del tipo di dati in memoria e della loro collocazione. Insomma: qualcosa che a prima vista non sembra avere un impatto devastante per la sicurezza di Windows.
La lievità del problema spiegherebbe anche la strana vicenda che ha portato alla pubblicazione dei dettagli da parte di Google. Stando a quanto riportato sul blog dello Project Zero, infatti, Jurczyk avrebbe comunicato una prima volta la presenza della falla nel marzo 2016.
Gli aggiornamenti rilasciati da Microsoft nel giugno 2016, però, non avrebbero risolto del tutto il problema e Jurczyk avrebbe quindi ripresentato un report lo scorso novembre momento dal quale Microsoft avrebbe avuto i canonici 90 giorni per pubblicare l’update.
La pianificazione per il rilascio degli aggiornamenti di Windows, in realtà, prevedeva che la patch fosse resa disponibile in tempo utile, cioè con la tornata di aggiornamenti che avrebbero dovuto essere pubblicata lo scorso 14 febbraio.
Microsoft, però, ha deciso di rinviare il suo “Patch Tuesday” a causa, a quanto pare, di un problema dell’ultimo minuto. Di qui lo sforamento del termine e la conseguente disclosure a opera del Project Zero team. Per il momento, al fattaccio non sembra essere seguita nessuna reazione di Microsoft.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una... -
L’Italia è tra gli obiettivi principali del... L’Italia è tra i principali obiettivi del cybercrime... -
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Migliaia di chiavi AWS usate in un attacco ransomware Alcuni ricercatori di sicurezza hanno scoperto una nuova... -
Aggiornato: Addio a CVE – il governo U.S.A.... Aggiornamento: “Il programma CVE ha un valore... -
Defender for Endpoint bloccherà gli IP sconosciuti per... Microsoft sta per rilasciare una nuova funzionalità di... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento...
-
Cambiare password di admin da remoto: la nuova... La settimana scorsa Fortinet ha rilasciato un fix per
Ransomware: la serie
No posts found.
One thought on “Falla in Windows e Google la pubblica prima della patch”