Luca Annunziata

Google corregge Microsoft, a corto di patch tuesday

A Mountain View scovano e pubblicano un bug di Windows, dopo aver atteso che a Redmond chiudessero il buco. Attesa prolungata dal rinvio del martedì delle patch

Milano - La storia di bug e patch tra Microsoft e Google si arricchisce di un nuovo capitolo: nelle scorse ore da Mountain View è giunta notizia di un bug che affligge Windows e il suo sottosistema grafico, un bug che in teoria avrebbe dovuto essere stato chiuso un anno fa ma che - secondo Google - ha lasciato ancora una porta aperta ai malintenzionati. Le segnalazioni inviate dagli scopritori a Microsoft non hanno sortito effetto: dopo 90 giorni è scattata la policy Project Zero di Big G, con la conseguente pubblicazione dei dettagli sul problema.

Da quanto si apprende, la patch MS16-074 emessa da Microsoft lo scorso giugno 2016 era destinata ad arginare una vulnerabilità legata alla libreria Windows Graphics Component GDI: un file EMF, che tipicamente contiene asset destinati alla grafica, può essere osato per attuare un attacco che offra accesso alla memoria del sistema. Si può sfruttare questa vulnerabilità per iniettare o prelevare informazioni dal PC vittima, così da poter introdurre codice indesiderato o sottrarre dati sensibili dalla memoria.

Il bug, come detto, sarebbe dovuto essere stato oggetto di una patch già rilasciata: ma non tutto è andato come avrebbe dovuto, i ricercatori di Google se ne sono accorti e hanno fatto presente il problema a Microsoft. Hanno atteso, invano, per 90 giorni una risposta di qualche tipo: risposta che non è mai arrivata. Da qui la decisione di rilasciare le informazioni sul problema, allo scopo di mettere sull'avviso gli utenti: una politica intrapresa da qualche tempo in quel di Mountain View, che già in precedenza ha visto agitarsi un po' le acque tra California e Washington e che non farà felici i tecnici di Redmond.
Microsoft d'altra parte sta prendendo le misure alla nuova politica di gestione della sicurezza per il proprio software, che prevede nuovi meccanismi di rilascio delle patch: inoltre a febbraio il consueto patch tuesday, il primo del nuovo corso, è saltato ed è stato rinviato al prossimo mese a causa di una imperfetta soluzione a un bug che ha convinto i tecnici di Big M a rimandarne la pubblicazione. Da Redmond non hanno voluto chiarire quale fosse il problema che ha spinto a questa mossa praticamente senza precedenti da oltre 10 anni (il patch tuesday è nato nel 2003): non resta che attendere marzo per scoprire quale sarà la mole delle patch rilasciate, ormai mancano pochi giorni.

Luca Annunziata
Notizie collegate
  • SicurezzaGoogle guarda alle falle di WindowsMicrosoft, che aveva ignorato il problema per tre mesi, dopo la pubblicazione dell'exploit dichiara di essere al lavoro per l'aggiornamento
  • SicurezzaGoogle e la guerra delle vulnerabilitàMountain View continua a pubblicare dettagli sulle vulnerabilità di sicurezza nel software altrui, in un programma di disclosure che non salva nessuno: ora è la volta di Apple. Quando la falla è di Google, i tempi di aggiornamento sono relativamente brevi
  • SicurezzaGoogle, quando la disclosure può attendereL'ultimatum della pubblicazione dei dettagli delle falle diventa meno rigido: Mountain View terrà conto dei giorni festivi, e concederà proroghe alle aziende che mostrino buona volontà. Microsoft non è pienamente soddisfatta
  • SicurezzaAntivirus, sono tutti inutili?Un ex sviluppatore Mozilla lancia un vero e proprio appello a rimuovere gli antivirus installati nei PC. Nella maggior parte dei casi, dice, è meglio fare senza
25 Commenti alla Notizia Google corregge Microsoft, a corto di patch tuesday
Ordina
  • Il mio Android 6 è ancora fermo alle patch di sicurezza di ottobre 2016. Per la serie, il bue che dice cornuto all'asino...
    non+autenticato
  • - Scritto da: Danilo
    > Il mio Android 6 è ancora fermo alle patch di
    > sicurezza di ottobre 2016. Per la serie, il bue
    > che dice cornuto
    > all'asino...
    oggi android non è linux, percui non ci scassare i maroni
    non+autenticato
  • - Scritto da: unimatrix 1
    > - Scritto da: Danilo
    > > Il mio Android 6 è ancora fermo alle patch di
    > > sicurezza di ottobre 2016. Per la serie, il
    > bue
    > > che dice cornuto
    > > all'asino...
    > oggi android non è linux, percui non ci scassare
    > i
    > maroni

    però è un prodotto Google
    non+autenticato
  • Il repository AOSP è aggiornato, se il produttore del tuo smartphone non si degna di rilasciare le patch non è colpa di Google.
    non+autenticato
  • - Scritto da: mela marcia
    > Il repository AOSP è aggiornato, se il produttore
    > del tuo smartphone non si degna di rilasciare le
    > patch non è colpa di
    > Google.

    Google non può stare ferma a guardare, dovrebbe intervenire in un qualche modo
    non+autenticato
  • "il consueto patch tuesday è saltato ed è stato rinviato al prossimo mese a causa di una imperfetta soluzione a un bug"

    Cazzata! Non si rimandano TUTTE patch solo perchè una è venuta male. I professionisti del closed sorcio...
    non+autenticato
  • La mia impressione è che il codice di Windows è arrivato ad un livello di pattume tale da rompere una cosa quando se ne tocca un'altra.

    Probabilmente non potevano rilasciare delle patch, in assenza di altri fix non ancora terminati, perché col meccanismo delle DLL è tutto legato insieme.

    Il fatto che MS cerchi di spingere i suoi software e servizi su altre piattaforme e perché hanno capito che Windows ha i giorni contati...
    non+autenticato
  • - Scritto da: niente patch
    > "il consueto patch tuesday è saltato ed è stato
    > rinviato al prossimo mese a causa di una
    > imperfetta soluzione a un
    > bug"
    >
    > Cazzata! Non si rimandano TUTTE patch solo perchè
    > una è venuta male. I professionisti del closed
    > sorcio...

    Conviene dire che UNA è venuta male, anche perché a Redmond le cucinano in fonderia(nsa).    Rotola dal ridere
    non+autenticato
  • - Scritto da: niente patch
    > I professionisti del closed sorcio...

    a pinuccio dispiace che il codice di windows sia closed, altrimenti potrebbe dargli un'occhiata come rimedio alla stitichezza.
    non+autenticato
  • - Scritto da: niente patch
    > "il consueto patch tuesday è saltato ed è stato
    > rinviato al prossimo mese a causa di una
    > imperfetta soluzione a un
    > bug"
    >
    > Cazzata! Non si rimandano TUTTE patch solo perchè
    > una è venuta male. I professionisti del closed
    > sorcio...

    M$ è ormai un ente con finalità di lucro, la professionalità è tutt'altra cosa.
  • - Scritto da: rockroll
    > - Scritto da: niente patch
    > > "il consueto patch tuesday è saltato ed è stato
    > > rinviato al prossimo mese a causa di una
    > > imperfetta soluzione a un
    > > bug"
    > >
    > > Cazzata! Non si rimandano TUTTE patch solo
    > perchè
    > > una è venuta male. I professionisti del closed
    > > sorcio...
    >
    > M$ è ormai un ente con finalità di lucro, la
    > professionalità è tutt'altra
    > cosa.

    eh già...peccato che in ms e per ms lavorano i migliori tecnici del settore
    non+autenticato
  • Cosi', per sapere, vi fanno tanto male le catene che avete ai polsi, caviglie e collo?
    E la frusta? Fa male la frusta?

    Del resto si sa: chi decide di farsi schiavo, e' destinato a subire i capricci del padrone.
  • - Scritto da: panda rossa
    > Cosi', per sapere, vi fanno tanto male le catene
    > che avete ai polsi, caviglie e
    > collo?
    > E la frusta? Fa male la frusta?
    >
    > Del resto si sa: chi decide di farsi schiavo, e'
    > destinato a subire i capricci del
    > padrone.


    La gente...aglia, e molto portata a farsi del male con le proprie mani.

    C'è ne di gente-aglia masochista.A bocca aperta
    non+autenticato
  • - Scritto da: Il fuddaro
    > - Scritto da: panda rossa
    > > Cosi', per sapere, vi fanno tanto male le catene
    > > che avete ai polsi, caviglie e
    > > collo?
    > > E la frusta? Fa male la frusta?
    > >
    > > Del resto si sa: chi decide di farsi schiavo, e'
    > > destinato a subire i capricci del
    > > padrone.
    >
    >
    > La gente...aglia, e     è molto portata a farsi del
    > male con le proprie
    > mani.
    >
    > C'è ne     Ce n'è di gente-aglia masochista.A bocca aperta

    Sorride
  • - Scritto da: panda rossa
    > Cosi', per sapere, vi fanno tanto male le catene
    > che avete ai polsi, caviglie e
    > collo?
    > E la frusta? Fa male la frusta?
    >
    > Del resto si sa: chi decide di farsi schiavo, e'
    > destinato a subire i capricci del
    > padrone.

    Secondo me fa più male l'umidità della tua cantina
    non+autenticato
  • - Scritto da: Ubaldo
    > Secondo me fa più male l'umidità della tua cantina

    C'è poco da fare ironia quando si ha sul groppone su un bug grave non patchato da un anno... E non è il primo...
    non+autenticato
  • - Scritto da: mela marcia
    > - Scritto da: Ubaldo
    > > Secondo me fa più male l'umidità della tua
    > cantina
    >
    > C'è poco da fare ironia quando si ha sul groppone
    > su un bug grave non patchato da un anno... E non
    > è il
    > primo...

    Ma no, quelle sono cose del' opensorcio, sul versante closed sono dei veri professionisti..... dell'occultare.

    E per i fans idiot le cose che non vedono sono migliori.Occhiolino
    non+autenticato
  • - Scritto da: mela marcia
    > - Scritto da: Ubaldo
    > > Secondo me fa più male l'umidità della tua
    > cantina
    >
    > C'è poco da fare ironia quando si ha sul groppone
    > su un bug grave non patchato da un anno... E non
    > è il
    > primo...

    Che dire di dirty cow che è rimasto lì per ben 11 anni ?
    non+autenticato
  • Ma ora è patchato, Windows ne ha molti non patchati.
    non+autenticato
  • - Scritto da: mela marcia
    > Ma ora è patchato

    Esticazzi , almeno taci. Sorride
  • - Scritto da: mela marcia
    > Ma ora è patchato, Windows ne ha molti non
    > patchati.

    Molti ? Quali ?
    non+autenticato
  • - Scritto da: Nome e cognome
    > - Scritto da: mela marcia
    > > - Scritto da: Ubaldo
    > > > Secondo me fa più male l'umidità della tua
    > > cantina
    > >
    > > C'è poco da fare ironia quando si ha sul
    > groppone
    > > su un bug grave non patchato da un anno... E non
    > > è il
    > > primo...
    >
    > Che dire di dirty cow che è rimasto lì per ben 11
    > anni
    > ?
    i bug per definizione non sono mai patchati (ALMENO) sin quando non vengono scopertiSorride .pubblicamente scoperti.
    non+autenticato