Aggiornamenti recenti Giugno 16th, 2025 5:26 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Anubis, un nuovo ransomware che integra un wiper
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
Falla in Windows e Google la pubblica prima della patch
Per la seconda volta in pochi mesi il famigerato Project Zero team di Google rende pubblica una falla di Windows per cui non è ancora disponibile il fix.
Se la distanza tra il mondo ideale e quello reale si misura anche nelle piccole cose, figuriamoci in quelle grandi. E visto che la “leale cooperazione” tra i big del mondo hi-tech non fa eccezione, ecco che Google e Microsoft rischiano finire di nuovo ai ferri corti.
La pietra dello scandalo è una vulnerabilità dei sistemi Microsoft che Google ha deciso di rendere pubblica prima che sia disponibile l’aggiornamento che la corregge. Uno sgarbo identico a quello che aveva mandato su tutte le furie il vice presidente Terry Myerson 3 mesi fa, quando è andato in onda lo stesso copione.
Protagonista della vicenda è il (solito) famigerato Project Zero di Google, il team di ricercatori di sicurezza che si attengono a una rigorosa policy nella pubblicazione delle informazioni relative ai bug: le aziende hanno 90 giorni di tempo dalla prima comunicazione dell’esistenza del bug per rilasciare gli aggiornamenti. Dopo il termine, la vulnerabilità viene resa pubblica.
Peccato che, sostengono dalle parti di Microsoft, questa “rigidità” finisca per fare il gioco dei pirati informatici, che hanno il tempo di mettere a punto exploit e malware che sfruttano le falle di sicurezza prima che gli utenti abbiano a disposizione uno strumento per contrastarli.
In questo caso, però, Microsoft sembra avere poco di cui lamentarsi. La vulnerabilità in questione riguarda la Windows GDI (Graphics Device Interface) che fa riferimento a gdi32.dll ed è una libreria che consente alle applicazioni di utilizzare elementi grafici e testuali sia sul monitor che sulle stampanti locali.
Stando al report di Mateusz Jurczyk, il ricercatore di Google che ha individuato il bug, la vulnerabilità consentirebbe di utilizzare un Enhanced MetaFile (EMF) per leggere il contenuto della memoria di sistema.
Uomo avvisato mezzo salvato… ma il rigore del Project Zero team di Google in passato ha suscitato le proteste di Microsoft.
Nello scenario di attacco descritto dall’analista, il file EMF può essere incorporato in una pagina Web o inserito in un documento di Office e l’impatto dell’exploit varia a seconda del tipo di dati in memoria e della loro collocazione. Insomma: qualcosa che a prima vista non sembra avere un impatto devastante per la sicurezza di Windows.
La lievità del problema spiegherebbe anche la strana vicenda che ha portato alla pubblicazione dei dettagli da parte di Google. Stando a quanto riportato sul blog dello Project Zero, infatti, Jurczyk avrebbe comunicato una prima volta la presenza della falla nel marzo 2016.
Gli aggiornamenti rilasciati da Microsoft nel giugno 2016, però, non avrebbero risolto del tutto il problema e Jurczyk avrebbe quindi ripresentato un report lo scorso novembre momento dal quale Microsoft avrebbe avuto i canonici 90 giorni per pubblicare l’update.
La pianificazione per il rilascio degli aggiornamenti di Windows, in realtà, prevedeva che la patch fosse resa disponibile in tempo utile, cioè con la tornata di aggiornamenti che avrebbero dovuto essere pubblicata lo scorso 14 febbraio.
Microsoft, però, ha deciso di rinviare il suo “Patch Tuesday” a causa, a quanto pare, di un problema dell’ultimo minuto. Di qui lo sforamento del termine e la conseguente disclosure a opera del Project Zero team. Per il momento, al fattaccio non sembra essere seguita nessuna reazione di Microsoft.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Anubis, un nuovo ransomware che integra un wiper I ricercatori di Trend Micro hanno individuato Anubis, un... -
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva...
Ransomware: la serie
No posts found.
One thought on “Falla in Windows e Google la pubblica prima della patch”