Gaia Bottà

Microsoft critica Google per la disclosure avventata

Redmond si schiera contro la pubblicazione dei dettagli delle falle di Windows 8.1 ad opera di Mountain View: la trasparenza è utile, ma solo dopo le patch

Roma - Microsoft richiama alla responsabilità le aziende di settore: è necessario lavorare compatti, senza seguire strategie solipsistiche, per garantire la sicurezza degli utenti. Google, il principale destinatario dell'ammonizione di Redmond, si è comportato diversamente, rivelando al mondo delle pericolose falle che affliggono Windows 8.1, prima della pubblicazione della relativa soluzione: Microsoft non risparmia le critiche.

Una prima pubblicazione dei dettagli relativi al bug del sistema operativo di Microsoft è avvenuta alla fine di dicembre, seguita da un'altra pubblicazione relativa a un secondo bug. Le scelte di Mountain View sono state determinate dalle date scandite da Project Zero, progetto con cui la Grande G si impegna a monitorare i software altrui alla ricerca di falle, a rivelarle agli sviluppatori e a sollecitarli con la promessa di una disclosure pubblica, una volta trascorsi tre mesi dalla prima segnalazione. Se Google ha organizzato questo sistema allertare gli utenti e per stimolare i tecnici a una rapida risoluzione dei problemi, Microsoft ritiene che si tratti di una scelta irresponsabile.

Chris Betz, a capo del Microsoft Security Response Center (MSRC), spiega che Google ha ignorato la richiesta di Redmond di temporeggiare nella pubblicazione delle informazioni relative alle vulnerabilità: nonostante la patch per la seconda vulnerabilità fosse pronta per essere rilasciata entro pochi giorni dopo la disclosure, rispettando le tempistiche del Patch Tuesday, Mountain View avrebbe scelto di proseguire sulla propria strada, consegnando ai media e ai malintenzionati un succulento argomento di conversazione.
Il tutto, denuncia Microsoft, ai danni dell'utente finale: non tutti si sanno difendere autonomamente, senza una soluzione fornita dallo sviluppatore del software fallato, spiega Betz, e anche coloro che si muovono per mettersi ai ripari sono sottoposti a "un rischio significativamente aumentato dalla pubblicazione di informazioni che un cybercriminale potrebbe usare per orchestrare un attacco".

L'approccio adeguato, secondo Microsoft, è quello della Coordinated Vulnerability Disclosure (CVD), sulla base del quale ricercatori di sicurezza e aziende lavorano fianco a fianco per la trasparenza, ma non prima di aver risolto i problemi del codice, operazione che può richiedere tempi differenti a seconda del contesto: Betz spiega che pressoché nessuna delle vulnerabilità gestita privatamente prima del rilascio di un fix è stata sfruttata da malintenzionati, a differenza delle vulnerabilità rese pubbliche anzitempo. "Le policy e gli approcci che limitano o ignorano la collaborazione fra aziende - questa la convinzione di Redmond - non fanno bene né ai ricercatori di sicurezza, né alle aziende che vendono software, né ai consumatori. È un gioco a somma zero in cui tutte le parti finiscono per essere danneggiate".

L'Update Tuesday in programma per domani conterrà la patch utile a sistemare il secondo bug segnalato da Google: per la prima volta, dopo 10 anni, la giornata dedicata agli aggiornamenti non è stata preceduta da alcun tipo di notifica a favore degli utenti consumer.

Gaia Bottà
Notizie collegate
52 Commenti alla Notizia Microsoft critica Google per la disclosure avventata
Ordina
  • chi pubblica le vulnerabilità, lo fa nell'interesse del consumatore, quello di accellare gli aggiornamenti del sistema/software. Tre mesi sono un eternità in cui si è scoperti è la microsoft che non si adegua (a danno degli utenti). Sarà più difficile attaccare e sviluppare i virus in meno di una settimana su Linux o 3/6 mesi in Microsoft/Apple ? Con buona pace per fans.
    non+autenticato
  • Scoperta falla critica in Android che Google si rifiuta di patchare:
    https://community.rapid7.com/community/metasploit/...

    Meditate gente... Meditate...

    Saluti da P4
    non+autenticato
  • - Scritto da: P4__
    > Scoperta falla critica in Android che Google si
    > rifiuta di
    > patchare:
    > https://community.rapid7.com/community/metasploit/
    >
    > Meditate gente... Meditate...
    >
    > Saluti da P4

    magari è bene che te lo rileggi, google si rifiuta di fare il lavoro degli oem, google le patch le ha pubblicate, sta adesso agli oem prevederle negli aggiornamenti dei devices, capisci la differenza?
    non+autenticato
  • - Scritto da: rage
    > magari è bene che te lo rileggi, google si
    > rifiuta di fare il lavoro degli oem

    Quale parte di "Google No Longer Provides Patches for WebView" NON ti è chiara?
    non+autenticato
  • - Scritto da: franz aRTiglio
    > - Scritto da: rage
    > > magari è bene che te lo rileggi, google si
    > > rifiuta di fare il lavoro degli oem
    >
    > Quale parte di "Google No Longer Provides Patches
    > for WebView" NON ti è
    > chiara?

    non ti seguo, WebView è un componente legato alla rom, diventa impossibile per google poterlo aggiornare a meno di non aver tutte le rom di tutti i devices di ogni marca precedenti la 4.x, anche mettendo la patch nel playstore questa non è installabile su tutti i devices, mi dici un modo logico e razionale in cui google potrebbe riuscire a fornire la patch per tutti i deevices?
    non+autenticato
  • - Scritto da: rage
    > non ti seguo, WebView è un componente legato alla
    > rom, diventa impossibile per google poterlo
    > aggiornare a meno di non aver tutte le rom di
    > tutti i devices di ogni marca precedenti la 4.x,

    Webview è un componente software, non è legato alla rom.
    Quelli successivi alla 4.3 li ha patchati, mentre si rifiuta di patchare le versioni precedenti che sono ancora in uso da MILIONI di devices potenzialmente tutti ad alto rischio di sicurezza!
    non+autenticato
  • - Scritto da: fala
    > - Scritto da: rage
    > > non ti seguo, WebView è un componente legato
    > alla
    > > rom, diventa impossibile per google poterlo
    > > aggiornare a meno di non aver tutte le rom di
    > > tutti i devices di ogni marca precedenti la 4.x,
    >
    > Webview è un componente software, non è legato
    > alla
    > rom.
    > Quelli successivi alla 4.3 li ha patchati, mentre
    > si rifiuta di patchare le versioni precedenti che
    > sono ancora in uso da MILIONI di devices
    > potenzialmente tutti ad alto rischio di
    > sicurezza!

    e non ti sei chiesto cosa sia cambiato per webkit dalla 4.3 alla 4.4? o per te è ininfluente? sei in un sito di informatica, prova a ragionare in maniera logica
    non+autenticato
  • - Scritto da: rage

    > e non ti sei chiesto cosa sia cambiato per webkit
    > dalla 4.3 alla 4.4? o per te è ininfluente? sei
    > in un sito di informatica, prova a ragionare in
    > maniera
    > logica
    E tu non ti sei chiesto quanto interessi all'utente il numero 4.3 piuttosto del 4.4?
    Gli utenti chiedono device sicuri, Google invece è per il rischio.
    Diamo 90 giorni a google per correggere i suoi buchi, vediamo se ce la fa.
    In fondo sono 3 volte il tempo necessario per fare una patch... o no?
    non+autenticato
  • - Scritto da: Etyphe
    > - Scritto da: rage
    >
    > > e non ti sei chiesto cosa sia cambiato per
    > webkit
    > > dalla 4.3 alla 4.4? o per te è ininfluente?
    > sei
    > > in un sito di informatica, prova a ragionare
    > in
    > > maniera
    > > logica
    > E tu non ti sei chiesto quanto interessi
    > all'utente il numero 4.3 piuttosto del
    > 4.4?

    e tu non ti sei chiesto quanti sono gli utenti che si interessano alla sicurezza del proprio dispositivo?

    > Gli utenti chiedono device sicuri, Google invece
    > è per il
    > rischio.

    gli utenti chiedono se si può installare uozzapp non devices sicuri

    > Diamo 90 giorni a google per correggere i suoi
    > buchi, vediamo se ce la
    > fa.

    altrimenti pubblichi i bug?

    > In fondo sono 3 volte il tempo necessario per
    > fare una patch... o
    > no?

    chiedi alla comunità di linux se ci vogliono 90 giorni, sono molto più esperti in quest coseSorride
    non+autenticato
  • - Scritto da: rage
    > - Scritto da: Etyphe
    > > - Scritto da: rage

    > e tu non ti sei chiesto quanti sono gli utenti
    > che si interessano alla sicurezza del proprio
    > dispositivo?
    Su iOS a tutti interessa, tant'è che tutti aggiornano.
    Su Android purtroppo no, perché Google non rilascia aggiornamenti, non garantisce le patch e non è in grado di risolvere con dei rattoppi entro 90 giorni.

    Purtroppo ai clienti dei chicco-androidi tocca comprare telefoni nuovi, perché gli aggiornamenti e le correzioni non arriveranno mai.

    > > Diamo 90 giorni a google per correggere i
    > suoi
    > > buchi, vediamo se ce la
    > > fa.
    > altrimenti pubblichi i bug?
    Non serve, i buchi sono già noti e ben sfruttati, poveri utenti droidi.
    non+autenticato
  • - Scritto da: rage
    > - Scritto da: franz aRTiglio
    > > - Scritto da: rage
    > > > magari è bene che te lo rileggi, google
    > si
    > > > rifiuta di fare il lavoro degli oem
    > >
    > > Quale parte di "Google No Longer Provides
    > Patches
    > > for WebView" NON ti è
    > > chiara?
    >
    > non ti seguo, WebView è un componente legato alla
    > rom, diventa impossibile per google poterlo
    > aggiornare a meno di non aver tutte le rom di
    > tutti i devices di ogni marca precedenti la 4.x,
    Ma che stai dicendo?
    Ma hai idea di cosa sia una rom?
    Webview non c'entra niente con quel che dici, WebView è un componente che come qualsiasi altro può essere bucato (e lo è) e il suo buco va rattoppato entro 90 giorni.
    non+autenticato
  • piazzarei un bel po' di programmatori a cercare la falla critica in android. poi dopo 90 giorni dalla comunicazione la comunica al pubblico... come dite? L'avete risolta ma il 99% dei terminali non è stato aggiornato? Eh beh peccato, noi vi abbiamo dato un lasso di tempo adeguato, è un problema vostro.
    non+autenticato
  • - Scritto da: nome e cognome
    > piazzarei un bel po' di programmatori a cercare
    > la falla critica in android.

    Si, come no... non hanno persone in grado di trovare i CRATERI nei loro software, figurati se mettono risorse a cercare i bug nei sistemi altrui...
  • - Scritto da: panda rossa
    > - Scritto da: nome e cognome
    > > piazzarei un bel po' di programmatori a
    > cercare
    > > la falla critica in android.
    >
    > Si, come no... non hanno persone in grado di
    > trovare i CRATERI nei loro software, figurati se
    > mettono risorse a cercare i bug nei sistemi
    > altrui...
    basta tirare a caso e ne trovi quanti ne vuoi
    non+autenticato
  • - Scritto da: 2015
    > - Scritto da: panda rossa
    > > - Scritto da: nome e cognome
    > > > piazzarei un bel po' di programmatori a
    > > cercare
    > > > la falla critica in android.
    > >
    > > Si, come no... non hanno persone in grado di
    > > trovare i CRATERI nei loro software,
    > figurati
    > se
    > > mettono risorse a cercare i bug nei sistemi
    > > altrui...
    > basta tirare a caso e ne trovi quanti ne vuoi

    Proprio per questo le persone competenti in ambito informatico hanno eliminato M$ dai propri sistemi da decenni.

    Ormai sono rimasti solo i markettari ignoranti e i bimbiminkia brufolosi a usare M$ e difenderla aggratis.
  • - Scritto da: panda rossa
    > - Scritto da: 2015
    > Proprio per questo le persone competenti in
    > ambito informatico hanno eliminato M$ dai propri
    > sistemi da
    > decenni.

    Le persone competenti utilizzano sistemi Apple e abbandonano Android. Altroché!
    non+autenticato
  • - Scritto da: Etyphe
    > - Scritto da: panda rossa
    > > - Scritto da: 2015
    > > Proprio per questo le persone competenti in
    > > ambito informatico hanno eliminato M$ dai
    > propri
    > > sistemi da
    > > decenni.
    >
    > Le persone competenti utilizzano sistemi Apple e
    > abbandonano Android.
    > Altroché!

    visto che lo tiri fuori ad ogni post ti chiedo: che c'entra Android con una falla di Windows?
    Risposta: un ca**o, devo cercare di sviare l'attenzione...
    Funz
    13032
  • Se in 90 giorni un colosso come microsoft non è in grado di tappare una falla stiamo messi male. I casi sono due:
    A) Falla architetturale: Allora sono nella ***** fino al collo
    B) Pressapochismo: Allora siete nella ***** fino al collo, pagate e neanche danno assistenza.

    La dimensione "in righe di codice" di windows non può essere una scusante. Sicuramente l'architettura interna è modulare e di certo la componente incriminata non può essere alla base di qualsiasi funzione del SO.

    Ultima fesseria, google ci rende tutti meno sicuri: Sarebbe come accusare una rivista di meccanica che ci avverte che i freni dell'auto x (a causa di un bug della centralina) ogni tanto vanno in ciampanelle.
    non+autenticato
  • - Scritto da: Davidoff
    > Se in 90 giorni un colosso come microsoft non è
    > in grado di tappare una falla stiamo messi male.
    Ma tu hai capito che al 90esimo giorno la falla era chiusa?
    Hanno semplicemente chiesto di attendere il martedì, data in cui Microsoft pubblica le sue patch. DUE GIORNI DOPO!
    La pubblicazione di queste patch è mensile, per cui Google avrebbe tranquillamente potuto fare l'interesse dei consumatori e stare zitta.

    Qui Google ha torto marcio.
    non+autenticato
  • - Scritto da: Etyphe
    > - Scritto da: Davidoff
    > > Se in 90 giorni un colosso come microsoft
    > non
    > è
    > > in grado di tappare una falla stiamo messi
    > male.
    > Ma tu hai capito che al 90esimo giorno la falla
    > era
    > chiusa?
    > Hanno semplicemente chiesto di attendere il
    > martedì, data in cui Microsoft pubblica le sue
    > patch. DUE GIORNI
    > DOPO!
    > La pubblicazione di queste patch è mensile, per
    > cui Google avrebbe tranquillamente potuto fare
    > l'interesse dei consumatori e stare
    > zitta.
    >
    > Qui Google ha torto marcio.

    abbiamo visto che quando le falle sono critiche microsoft non si fa problemi ad anticipare il giorno delle patch, ha poche scusanti da questo punto di vista, la pubblicazione è automatica dopo 90 giorni secondo le policy che si sono dati i bughunters di google
    non+autenticato
  • - Scritto da: rage
    > - Scritto da: Etyphe
    > > - Scritto da: Davidoff

    > abbiamo visto che quando le falle sono critiche
    > microsoft non si fa problemi ad anticipare il
    > giorno delle patch, ha poche scusanti da questo
    > punto di vista, la pubblicazione è automatica
    > dopo 90 giorni secondo le policy che si sono dati
    > i bughunters di
    > google
    quindi dici che webview sarà aggiornato per tutti i dispositivi entro 90 giorni?
    Oppure google non ce la farà?
    non+autenticato
  • - Scritto da: Etyphe
    > - Scritto da: rage
    > > - Scritto da: Etyphe
    > > > - Scritto da: Davidoff
    >
    > > abbiamo visto che quando le falle sono
    > critiche
    > > microsoft non si fa problemi ad anticipare il
    > > giorno delle patch, ha poche scusanti da
    > questo
    > > punto di vista, la pubblicazione è automatica
    > > dopo 90 giorni secondo le policy che si sono
    > dati
    > > i bughunters di
    > > google
    > quindi dici che webview sarà aggiornato per tutti
    > i dispositivi entro 90
    > giorni?
    > Oppure google non ce la farà?

    bella questa logica da cliente apple
    non+autenticato
  • - Scritto da: rage
    > - Scritto da: Etyphe
    > > - Scritto da: rage
    > > > - Scritto da: Etyphe
    > > > > - Scritto da: Davidoff
    > >
    > > > abbiamo visto che quando le falle sono
    > > critiche
    > > > microsoft non si fa problemi ad
    > anticipare
    > il
    > > > giorno delle patch, ha poche scusanti da
    > > questo
    > > > punto di vista, la pubblicazione è
    > automatica
    > > > dopo 90 giorni secondo le policy che si
    > sono
    > > dati
    > > > i bughunters di
    > > > google
    > > quindi dici che webview sarà aggiornato per
    > tutti
    > > i dispositivi entro 90
    > > giorni?
    > > Oppure google non ce la farà?
    >
    > bella questa logica da cliente apple
    Irrilevante di chi sia la logica, il punto è che mancano 89 giorni e qui di patch nemmeno l'ombra. O__o
    non+autenticato
  • - Scritto da: Etyphe
    > - Scritto da: Davidoff
    > > Se in 90 giorni un colosso come microsoft
    > non
    > è
    > > in grado di tappare una falla stiamo messi
    > male.
    > Ma tu hai capito che al 90esimo giorno la falla
    > era
    > chiusa?
    > Hanno semplicemente chiesto di attendere il
    > martedì, data in cui Microsoft pubblica le sue
    > patch. DUE GIORNI
    > DOPO!

    perché dovrebbe attendere i comodacci di Microsoft?
    Si fo**ano
    Funz
    13032
  • Qui Microsoft ha totalmente ragione.
    Google non può pensare arbitrariamente che il numero magico del tempo necessario per risolvere un bug non possa superare i 90 giorno: ma dove sta scritto?

    Windows è composto da 50 milioni di righe di codice, una qualsiasi modifica va testata e pure molto, può risolvere il particolare problema e crearne altri mille. Chiunque sviluppo software lo sa.
    In questi 90 giorni Microsoft poteva tranquillamente aver deciso che altre vulnerabilità avevano la precedenza, non è compito di Google scegliere le priorità di un suo competitor.
    Così come non è compito di Google scegliere di rendere tutti un po' meno sicuri pubblicando informazioni critiche su bug altrui.

    Pessima scelta Google, altri che "don't be evil".
    non+autenticato
  • Sveglia giovinotto:

    https://en.wikipedia.org/wiki/Scroogled

    Chi la fa l' aspetti.
    non+autenticato
  • Mi sembrano due cose un po' diverse, un conto è attaccare l'avversario mettendo in luce i suoi difetti (in parte voluti, comunque), un conto è pubblicare informazioni che potrebbero potenzialmente danneggiare milioni di utenti dell'azienda concorrente.
    E' un po' come se una casa farmaceutica, per screditarne un'altra, mettesse in giro un virus resistente ai vaccini della concorrenza e con ciò causasse la morte di milioni di persone
    non+autenticato
  • - Scritto da: dkj
    > Mi sembrano due cose un po' diverse, un conto è
    > attaccare l'avversario mettendo in luce i suoi
    > difetti (in parte voluti, comunque), un conto è
    > pubblicare informazioni che potrebbero
    > potenzialmente danneggiare milioni di utenti
    > dell'azienda
    > concorrente.

    E sarebbe rimasta lì a poltrire nell' indifferenza di microsoft.

    > E' un po' come se una casa farmaceutica, per
    > screditarne un'altra, mettesse in giro un virus
    > resistente ai vaccini della concorrenza e con ciò
    > causasse la morte di milioni di
    > persone

    No! Chi ha diffuso il bug e lo ha lasciato lì silente (silente?!?) è microsoft.
    non+autenticato
  • - Scritto da: old boy
    > - Scritto da: dkj
    > > Mi sembrano due cose un po' diverse, un conto è
    > > attaccare l'avversario mettendo in luce i suoi
    > > difetti (in parte voluti, comunque), un conto è
    > > pubblicare informazioni che potrebbero
    > > potenzialmente danneggiare milioni di utenti
    > > dell'azienda
    > > concorrente.
    >
    > E sarebbe rimasta lì a poltrire nell'
    > indifferenza di
    > microsoft.
    >
    > > E' un po' come se una casa farmaceutica, per
    > > screditarne un'altra, mettesse in giro un virus
    > > resistente ai vaccini della concorrenza e con
    > ciò
    > > causasse la morte di milioni di
    > > persone
    >
    > No! Chi ha diffuso il bug e lo ha lasciato lì
    > silente (silente?!?) è
    > microsoft.

    Guarda che i buchi non li fanno di proposito...
    non+autenticato
  • - Scritto da: 2015
    > - Scritto da: old boy
    > > - Scritto da: dkj
    > > > Mi sembrano due cose un po' diverse, un
    > conto
    > è
    > > > attaccare l'avversario mettendo in luce
    > i
    > suoi
    > > > difetti (in parte voluti, comunque), un
    > conto
    > è
    > > > pubblicare informazioni che potrebbero
    > > > potenzialmente danneggiare milioni di
    > utenti
    > > > dell'azienda
    > > > concorrente.
    > >
    > > E sarebbe rimasta lì a poltrire nell'
    > > indifferenza di
    > > microsoft.
    > >
    > > > E' un po' come se una casa
    > farmaceutica,
    > per
    > > > screditarne un'altra, mettesse in giro
    > un
    > virus
    > > > resistente ai vaccini della concorrenza
    > e
    > con
    > > ciò
    > > > causasse la morte di milioni di
    > > > persone
    > >
    > > No! Chi ha diffuso il bug e lo ha lasciato lì
    > > silente (silente?!?) è
    > > microsoft.
    >
    > Guarda che i buchi non li fanno di proposito...

    Non l'ho neanche mai pensato: essendo un branco di incapaci totali, non hanno alcun bisogno di farlo di proposito.
  • - Scritto da: panda rossa
    > - Scritto da: 2015

    > Non l'ho neanche mai pensato: essendo un branco
    > di incapaci totali, non hanno alcun bisogno di
    > farlo di
    > proposito.
    Dai, non insultare i clienti android a questo modo, vedrai che risolveranno i buchi comprando un nuovo device...
    non+autenticato
  • - Scritto da: old boy
    > Sveglia giovinotto:
    >
    > https://en.wikipedia.org/wiki/Scroogled
    >
    > Chi la fa l' aspetti.
    Da una parte una pubblicità e dall'altra un'azienda che mette a rischio milioni di persone e aziende. Non c'è che dire, proprio la stessa cosa.
    non+autenticato
  • - Scritto da: Roboante
    > - Scritto da: old boy
    > > Sveglia giovinotto:
    > >
    > > https://en.wikipedia.org/wiki/Scroogled
    > >
    > > Chi la fa l' aspetti.
    > Da una parte una pubblicità

    Non è stata una pubblicità, ma una campagna per discreditare un concorrente, la differenza è bella grossa. L' attacco brutale nei confronti della concorrenza è uno squallido vizio che ha radici lontane:

    https://it.wikipedia.org/wiki/Halloween_Documents

    > e dall'altra
    > un'azienda che mette a rischio milioni di persone
    > e aziende. Non c'è che dire, proprio la stessa
    > cosa.

    Quando si parla di vulnerabilità vi sfugge sempre un dettaglio fondamentale: chi vi garantisce che il bug non fosse già sfruttato? Adesso gli tocca lavorare o rimetterci la faccia davanti ai propri clienti gli sta bene... anche ai clienti...
    non+autenticato
  • - Scritto da: Roboante
    > - Scritto da: old boy
    > > Sveglia giovinotto:
    > >
    > > https://en.wikipedia.org/wiki/Scroogled
    > >
    > > Chi la fa l' aspetti.
    > Da una parte una pubblicità e dall'altra
    > un'azienda che mette a rischio milioni di persone
    > e aziende. Non c'è che dire, proprio la stessa
    > cosa.

    Chi mette a rischio persone e aziende è Microsoft, non Google. Casomai non avessi capito, Google non ha creato virus per attaccare Windows, ha solo seguito le linee guida di un progetto che aveva annunciato e documentato. Tre mesi di tempo per fissare exploit, poi vengono pubblicati. Più che giusto, direi.
    Izio01
    4674
  • - Scritto da: Izio01
    > - Scritto da: Roboante

    > Google non ha creato virus per attaccare Windows,
    > ha solo seguito le linee guida di un progetto che
    > aveva annunciato e documentato. Tre mesi di tempo
    > per fissare exploit, poi vengono pubblicati. Più
    > che giusto,
    > direi.
    Già e questo "progetto zero" vale solo per microsoft, mentre per i buchi di android, 90 giorni non sono sufficienti?
    Guarda, sono bravo, gliene lascio 180, ma correggano finalmente tutti i buchi di android dalla versione 1 in poi.
    non+autenticato