Google corregge Microsoft, a corto di patch tuesday

A Mountain View scovano e pubblicano un bug di Windows, dopo aver atteso che a Redmond chiudessero il buco. Attesa prolungata dal rinvio del martedì delle patch
A Mountain View scovano e pubblicano un bug di Windows, dopo aver atteso che a Redmond chiudessero il buco. Attesa prolungata dal rinvio del martedì delle patch

Milano – La storia di bug e patch tra Microsoft e Google si arricchisce di un nuovo capitolo: nelle scorse ore da Mountain View è giunta notizia di un bug che affligge Windows e il suo sottosistema grafico, un bug che in teoria avrebbe dovuto essere stato chiuso un anno fa ma che – secondo Google – ha lasciato ancora una porta aperta ai malintenzionati. Le segnalazioni inviate dagli scopritori a Microsoft non hanno sortito effetto: dopo 90 giorni è scattata la policy Project Zero di Big G, con la conseguente pubblicazione dei dettagli sul problema.

Da quanto si apprende, la patch MS16-074 emessa da Microsoft lo scorso giugno 2016 era destinata ad arginare una vulnerabilità legata alla libreria Windows Graphics Component GDI: un file EMF, che tipicamente contiene asset destinati alla grafica, può essere osato per attuare un attacco che offra accesso alla memoria del sistema. Si può sfruttare questa vulnerabilità per iniettare o prelevare informazioni dal PC vittima , così da poter introdurre codice indesiderato o sottrarre dati sensibili dalla memoria.

Il bug, come detto, sarebbe dovuto essere stato oggetto di una patch già rilasciata: ma non tutto è andato come avrebbe dovuto, i ricercatori di Google se ne sono accorti e hanno fatto presente il problema a Microsoft. Hanno atteso, invano, per 90 giorni una risposta di qualche tipo : risposta che non è mai arrivata. Da qui la decisione di rilasciare le informazioni sul problema, allo scopo di mettere sull’avviso gli utenti: una politica intrapresa da qualche tempo in quel di Mountain View, che già in precedenza ha visto agitarsi un po’ le acque tra California e Washington e che non farà felici i tecnici di Redmond.

Microsoft d’altra parte sta prendendo le misure alla nuova politica di gestione della sicurezza per il proprio software, che prevede nuovi meccanismi di rilascio delle patch: inoltre a febbraio il consueto patch tuesday, il primo del nuovo corso, è saltato ed è stato rinviato al prossimo mese a causa di una imperfetta soluzione a un bug che ha convinto i tecnici di Big M a rimandarne la pubblicazione. Da Redmond non hanno voluto chiarire quale fosse il problema che ha spinto a questa mossa praticamente senza precedenti da oltre 10 anni (il patch tuesday è nato nel 2003): non resta che attendere marzo per scoprire quale sarà la mole delle patch rilasciate, ormai mancano pochi giorni.

Luca Annunziata

Link copiato negli appunti

Ti potrebbe interessare

21 02 2017
Link copiato negli appunti