Alfonso Maruccia

Microsoft e Google, il bug della discordia

Quel che sembra certo Ŕ che Internet Explorer sia vittima di un altro caso di vulnerabilitÓ zero-day. Resta da capire chi lo abbia scoperto, e se i dettagli siano finiti in mani (cinesi) sbagliate

Roma - L'ennesima falla "zero-day" individuata in Internet Explorer porta a un piccolo scontro diplomatico tra Microsoft e Google, con la prima che contesta la versione dei fatti di Michal Zalewski (ingegnere della seconda) e l'ipotesi che la vulnerabilità sia stata individuata "indipendentemente" da ignoti cracker cinesi.

Redmond e Mountain View sono prima di tutto in disaccordo sul ruolo giocato nella vicenda da cross_fuzz, il tool ideato da Zalewski nel suo tempo libero e pensato per l'individuazione automatizzata di potenziali problemi di sicurezza all'interno dei browser più usati (Firefox o lo stesso Internet Explorer, ad esempio).

IE, neanche a dirlo, ha fatto incetta di vulnerabilità risultando "bucato" per quasi 100 diverse istanze nei dati sin qui raccolti da cross_fuzz. I dettagli di uno di questi bachi, concernente "un crash chiaramente sfruttabile" da parte di malintenzionati, sono stati "involontariamente" rivelati a qualcuno dotato di un IP cinese, denuncia ora Zalewski.
I log di navigazione mostrano che il server contenente le informazioni incriminate è stato visitato dall'ignoto IP asiatico di cui sopra, dice l'ingegnere di Google. Ma il navigatore è finito sulle macchine di Mountain View cercando riferimenti alla vulnerabilità di IE, e il fatto che al tempo le uniche informazioni indicizzate fossero quelle pubblicate da Google lascia intendere - dice sempre Zlewski - che il cracker avesse già individuato in precedenza il baco con strumenti diversi da cross_fuzz.

Microsoft, invece, dice di non aver al momento informazioni riguardanti la parentela tra il lavoro di indagine fatto da cross_fuzz ed eventuali attacchi o exploit esterni. Zlewski sostiene di aver rilasciato la nuova versione di cross_fuzz a inizio anno, ma da Redmond dicono invece che l'utilizzo di tale release e delle informazioni sul baco vada retrodatato al 21 dicembre scorso. Le date non coincidono, mentre le indagini sono tutt'ora in corso.

Alfonso Maruccia
Notizie collegate
  • SicurezzaInternet Explorer, falla chiavi in manoUna vulnerabilitÓ recentemente individuata nel browser Microsoft entra a far parte delle possibilitÓ di attacco di un "toolkit" commerciale. Una patch Ŕ giÓ disponibile
  • SicurezzaIl giorno zero di IEMicrosoft conferma una nuova minaccia zero day per la sicurezza di Internet Explorer. A finire sotto accusa Ŕ sempre la gestione dei fogli di stile CSS
8 Commenti alla Notizia Microsoft e Google, il bug della discordia
Ordina