Aggiornamenti recenti Aprile 19th, 2024 9:00 AM
Feb 21, 2017 Marco Schiaffino News, Prodotto, RSS, Vulnerabilità 1
Se la distanza tra il mondo ideale e quello reale si misura anche nelle piccole cose, figuriamoci in quelle grandi. E visto che la “leale cooperazione” tra i big del mondo hi-tech non fa eccezione, ecco che Google e Microsoft rischiano finire di nuovo ai ferri corti.
La pietra dello scandalo è una vulnerabilità dei sistemi Microsoft che Google ha deciso di rendere pubblica prima che sia disponibile l’aggiornamento che la corregge. Uno sgarbo identico a quello che aveva mandato su tutte le furie il vice presidente Terry Myerson 3 mesi fa, quando è andato in onda lo stesso copione.
Protagonista della vicenda è il (solito) famigerato Project Zero di Google, il team di ricercatori di sicurezza che si attengono a una rigorosa policy nella pubblicazione delle informazioni relative ai bug: le aziende hanno 90 giorni di tempo dalla prima comunicazione dell’esistenza del bug per rilasciare gli aggiornamenti. Dopo il termine, la vulnerabilità viene resa pubblica.
Peccato che, sostengono dalle parti di Microsoft, questa “rigidità” finisca per fare il gioco dei pirati informatici, che hanno il tempo di mettere a punto exploit e malware che sfruttano le falle di sicurezza prima che gli utenti abbiano a disposizione uno strumento per contrastarli.
In questo caso, però, Microsoft sembra avere poco di cui lamentarsi. La vulnerabilità in questione riguarda la Windows GDI (Graphics Device Interface) che fa riferimento a gdi32.dll ed è una libreria che consente alle applicazioni di utilizzare elementi grafici e testuali sia sul monitor che sulle stampanti locali.
Stando al report di Mateusz Jurczyk, il ricercatore di Google che ha individuato il bug, la vulnerabilità consentirebbe di utilizzare un Enhanced MetaFile (EMF) per leggere il contenuto della memoria di sistema.
Nello scenario di attacco descritto dall’analista, il file EMF può essere incorporato in una pagina Web o inserito in un documento di Office e l’impatto dell’exploit varia a seconda del tipo di dati in memoria e della loro collocazione. Insomma: qualcosa che a prima vista non sembra avere un impatto devastante per la sicurezza di Windows.
La lievità del problema spiegherebbe anche la strana vicenda che ha portato alla pubblicazione dei dettagli da parte di Google. Stando a quanto riportato sul blog dello Project Zero, infatti, Jurczyk avrebbe comunicato una prima volta la presenza della falla nel marzo 2016.
Gli aggiornamenti rilasciati da Microsoft nel giugno 2016, però, non avrebbero risolto del tutto il problema e Jurczyk avrebbe quindi ripresentato un report lo scorso novembre momento dal quale Microsoft avrebbe avuto i canonici 90 giorni per pubblicare l’update.
La pianificazione per il rilascio degli aggiornamenti di Windows, in realtà, prevedeva che la patch fosse resa disponibile in tempo utile, cioè con la tornata di aggiornamenti che avrebbero dovuto essere pubblicata lo scorso 14 febbraio.
Microsoft, però, ha deciso di rinviare il suo “Patch Tuesday” a causa, a quanto pare, di un problema dell’ultimo minuto. Di qui lo sforamento del termine e la conseguente disclosure a opera del Project Zero team. Per il momento, al fattaccio non sembra essere seguita nessuna reazione di Microsoft.
Apr 17, 2024 0
Apr 10, 2024 0
Apr 04, 2024 0
Mar 15, 2024 0
Apr 19, 2024 0
Apr 18, 2024 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 19, 2024 0
Il mondo del cybercrimine continua a mettere in difficoltà...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...
One thought on “Falla in Windows e Google la pubblica prima della patch”