Google Vs. Microsoft, galeotto fu il bug e chi lo divulgò

Google Vs. Microsoft, galeotto fu il bug e chi lo divulgò

Redmond ammette l'esistenza di due vulnerabilità in Windows, già sfruttate. Ma accusa Google: avrebbero dovuto aspettare prima di rivelare i dettagli
Redmond ammette l'esistenza di due vulnerabilità in Windows, già sfruttate. Ma accusa Google: avrebbero dovuto aspettare prima di rivelare i dettagli

Ennesima querelle diplomatica tra Google e Microsoft sulle falle di sicurezza, con la corporation di Redmond impegnata a difendere il suo comportamento “responsabile” contro quello che, a suo dire, è stato un episodio fastidioso di rivelazione dei particolari delle vulnerabilità zero-day prima dell’arrivo di una patch.

I due bug incriminati sono stati scoperti dagli esperti di sicurezza di Google, riguardano il solito plugin Adobe Flash oltre al kernel di Windows e sono già attivamente sfruttati dai cyber-criminali per campagne di phishing mirate (spear-phishing) indirizzate a soggetti-bersaglio particolarmente qualificati.

Dietro la nuova minaccia c’è un gruppo russo che Microsoft chiama “STRONTIUM”, è altresì noto come Fancy Bear o Tsar Team (APT28) ed è già stato indicato come responsabile degli attacchi contro la campagna presidenziale di Hillary Clinton e l’ agenzia mondiale anti-doping WADA .

Le falle zero-day possono essere sfruttate per evadere la sandbox di Windows ed eseguire codice malevolo con privilegi elevati, e Microsoft rassicura gli utenti che installano sempre gli aggiornamenti indicando il browser Edge e l’Anniversary Update di Windows 10 come ambienti capaci di neutralizzare i tentativi di compromissione di Fancy Bear/APT28.

Una patch correttiva per i bug è in via di collaudo in attesa del prossimo “Update Tuesday” dell’8 novembre, ha confermato Microsoft, ma la decisione di Google di svelare la loro esistenza in anticipo sui tempi è “deludente”: in questo modo la corporation dell’advertising ha messo inutilmente a rischio gli utenti.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 2 nov 2016
Link copiato negli appunti