Alfonso Maruccia

IE, HP alla guerra delle vulnerabilitÓ

Hewlett-Packard rilascia un exploit per un baco presente in Internet Explorer, un problema che Microsoft si rifiuta di risolvere. Adobe Ŕ invece impegnata a distribuire l'ennesima patch correttiva per Flash Player

Roma - Guerra di policy e disclosure di informazioni su bachi e vulnerabilità di sicurezza tra Microsoft e Hewlett-Packard, con quest'ultima che ha deciso di distribuire il codice proof-of-concept in grado di sfruttare un pericoloso bug presente nel browser Internet Explorer.

La vulnerabilità è ben nota a Microsoft, al punto da aver fatto guadagnare ai ricercatori HP una "taglia" da ben 125mila dollari poi donati in beneficenza, e permette a un malintenzionato di bypassare la tecnologia Address Space Layout Randomization (ASLR) per compromettere il sistema.
La falla mette a rischio solo i sistemi operativi a 32-bit, una "variante" di Windows che ancora anima milioni di PC nonostante le CPU x86 a 64-bit siano la stragrande maggioranza dell'offerta di mercato. Microsoft, invece, non è d'accordo sulla dimensione del rischio e non ha a quanto pare intenzione di distribuire una patch correttiva.

I ricercatori di HP si dicono in ogni caso in disaccordo con la decisione di Redmond, e hanno preferito rilasciare l'exploit funzionante su Windows 7/8.1 permettendo alla community di comprendere appieno la minaccia e tutti i dettagli tecnici del caso.
La disclosure di HP avviene nel pieno rispetto della policy aziendale in materia, dicono i ricercatori, e non è certo questo il primo caso in cui un'azienda esterna si trova in contrasto con le pratiche di sicurezza adottate da Microsoft per il suo ecosistema software su PC.
Chi invece sembra aver fatto passi avanti sul fronte dei bugfix è Adobe, società che oramai dispensa con una certa regolarità patch correttive per le vulnerabilità individuate nel solito Flash Player: l'ultimo bollettino di sicurezza distribuito dalla software house corregge una vulnerabilità critica (CVE-2015-3113) in Flash scoperta da FireEye e potenzialmente sfruttabile per prendere il controllo di un PC usando Internet Explorer (Windows 7) o Firefox (Windows XP).

Alfonso Maruccia
Notizie collegate
  • SicurezzaInternet Explorer 10, nuova falla zero dayIl browser Microsoft sotto attacco in un'operazione mirata contro un sito militare USA. L'obiettivo Ŕ al momento ignoto, Redmond lavora alla risoluzione del problema.
  • SicurezzaGoogle e la guerra delle vulnerabilitàMountain View continua a pubblicare dettagli sulle vulnerabilitÓ di sicurezza nel software altrui, in un programma di disclosure che non salva nessuno: ora Ŕ la volta di Apple. Quando la falla Ŕ di Google, i tempi di aggiornamento sono relativamente brevi
8 Commenti alla Notizia IE, HP alla guerra delle vulnerabilitÓ
Ordina