Alfonso Maruccia

Microsoft contro Google per il bug di Chrome

Redmond si prende la rivincita sul rivale a causa di una vulnerabilità scovata in Chrome ma non corretta (nella versione stabile del browser) per un mese. L'anno scorso le parti erano invertite

Roma - È ancora una volta scontro per la "divulgazione responsabile" delle informazioni sui bug di sicurezza nel software, ambito che da un po' di tempo vede Microsoft e Google impegnate a parlarsi addosso riguardo l'approccio più corretto da tenere nei confronti delle aziende interessate e dell'industria tutta.

In questi giorni la palla è passata a Microsoft, che ha individuato una vulnerabilità di sicurezza nel browser Chrome e l'ha responsabilmente comunicato a Google (con tanto di codice di exploit funzionante) per le patch del caso.

Redmond ha avvertito Mountain View dell'esistenza del problema lo scorso 14 settembre, e gli ingegneri del software di Chromium/Chrome hanno chiuso la falla entro una settimana. Ma solo nella versione beta del browser, sottolinea Microsoft, mentre il canale delle release stabili - quelle evidentemente più popolari presso l'utenza - ha continuato ad essere vulnerabile per "quasi un mese".
Il fix per la falla è risultato disponibile su Github per tutto quel tempo, e i cyber-criminali hanno sicuramente potuto approfittare del fatto analizzando il codice ed estrapolando i dettagli della vulnerabilità da sfruttare in uno dei loro attacchi.

Rendere disponibili i dettagli di un bug prima di una patch "stabile" rappresenta un approccio "problematico" alla sicurezza informatica, dice Redmond, e la mente corre subito allo stesso caso capitato lo scorso novembre: all'epoca Google aveva pubblicato i dettagli su un bug nel kernel di Windows senza prima attendere la distribuzione di una patch correttiva da parte di Microsoft. Un comportamento che Redmond continua evidentemente a giudicare irresponsabile.

Alfonso Maruccia
Notizie collegate
  • SicurezzaGoogle Vs. Microsoft, galeotto fu il bug e chi lo divulgòRedmond ammette l'esistenza di due vulnerabilità in Windows, già sfruttate. Ma accusa Google: avrebbero dovuto aspettare prima di rivelare i dettagli
  • SicurezzaMicrosoft e il nuovo martedì delle patchRedmond distribuisce gli ultimi aggiornamenti di sicurezza per i suoi prodotti software, facendo debuttare il nuovo "sistema informativo" che sostituisce i vecchi bollettini di sicurezza. Viene ufficialmente dato l'addio a Vista, e il benvenuto al Creators Update
  • SicurezzaMicrosoft, patch per tuttoGli aggiornamenti di sicurezza di Redmond arrivano inesorabili con il secondo martedì del mese, portando in dote fix per pericolose vulnerabilità su IE, Edge, Windows e tutto quanto. Aggiornano pure Adobe e Cisco, perché la CIA è sempre in agguato
43 Commenti alla Notizia Microsoft contro Google per il bug di Chrome
Ordina
  • Anche se si sono sbrodolati parecchio addosso su come la site isolation funzioni bene in Edge, hanno anche fatto i complimenti a google per la velocita' di fixing... poi ok li hanno bacchettati per aver messo prima su github il codice, che la distribuzione della build..
    PERO' dicono anche for this issue does not immediately give away the underlying vulnerability..
    quindi insomma in realta' non c'e' nessun vero litigio e neanche un grave pericolo
    non+autenticato
  • Ma si ma il litigio lo vedono solo qui su PI, tanto per fare FUD e dar del cibo a Panda e simili.
    non+autenticato
  • - Scritto da: bubba
    > Anche se si sono sbrodolati parecchio addosso su
    > come la site isolation funzioni bene in Edge,
    > hanno anche fatto i complimenti a google per la
    > velocita' di fixing... poi ok li hanno
    > bacchettati per aver messo prima su github il
    > codice, che la distribuzione della build..
    >
    > PERO' dicono anche for this issue does not
    > immediately give away the underlying
    > vulnerability..
    > quindi insomma in realta' non c'e' nessun vero
    > litigio e neanche un grave
    > pericolo

    E tu dopo tutti questi anni credi ancora a M$?
  • - Scritto da: panda rossa
    > - Scritto da: bubba
    > > Anche se si sono sbrodolati parecchio
    > addosso
    > su
    > > come la site isolation funzioni bene in Edge,
    > > hanno anche fatto i complimenti a google per
    > la
    > > velocita' di fixing... poi ok li hanno
    > > bacchettati per aver messo prima su github il
    > > codice, che la distribuzione della build..
    > >
    > > PERO' dicono anche for this issue does not
    > > immediately give away the underlying
    > > vulnerability..
    > > quindi insomma in realta' non c'e' nessun
    > vero
    > > litigio e neanche un grave
    > > pericolo
    >
    > E tu dopo tutti questi anni credi ancora a M$?
    e che c'e da credere? sono fatti. anche la sbrodolata e' un fatto (guarda quanto e' lunga la loro analisi)
    non+autenticato
  • Fa abbastanza ridere vedere M$ che indica pagliuzze altrui.
  • Tu decidi di correggere o no i bug in base a chi te li segnala?
    non+autenticato
  • - Scritto da: ...
    > Tu decidi di correggere o no i bug in base a chi
    > te li
    > segnala?

    Quando quella che ti chiami "segnalare i bug" avviene mediante PI invece che utilizzando il canale preposto, non si chiama piu' "segnalare i bug" ma si chiama "smettete per qualche secondo di parlare della nostra merda, perche' quegli altri ci sembra che abbiano smesso di profumare".

    In parole povere: pagliuzze altrui per distrarre dalla propria trave nell'oculo.
  • - Scritto da: panda rossa
    > - Scritto da: ...
    > > Tu decidi di correggere o no i bug in base a
    > chi
    > > te li
    > > segnala?
    >
    > Quando quella che ti chiami "segnalare i bug"
    > avviene mediante PI invece che utilizzando il
    > canale preposto,

    Nell'articolo che non hai letto è spiegato che MS aveva avvisato Google il 14 Settembre.

    > non si chiama piu' "segnalare i
    > bug" ma si chiama "smettete per qualche secondo
    > di parlare della nostra merda, perche' quegli
    > altri ci sembra che abbiano smesso di
    > profumare".

    Se MS volesse fare apparire che non esistono bug di sicurezza nei suoi prodotti non rilascerebbe mai le patch, quindi il tuo discorso non sta in piedi.

    > In parole povere: pagliuzze altrui per distrarre
    > dalla propria trave
    > nell'oculo.

    Quale trave ? Questa ?

    http://punto-informatico.it/4407767/PI/News/androi...
    non+autenticato
  • - Scritto da: corto maltese
    > - Scritto da: panda rossa
    > > - Scritto da: ...
    > > > Tu decidi di correggere o no i bug in
    > base
    > a
    > > chi
    > > > te li
    > > > segnala?
    > >
    > > Quando quella che ti chiami "segnalare i bug"
    > > avviene mediante PI invece che utilizzando il
    > > canale preposto,
    >
    > Nell'articolo che non hai letto è spiegato che MS
    > aveva avvisato Google il 14
    > Settembre.
    >
    > > non si chiama piu' "segnalare i
    > > bug" ma si chiama "smettete per qualche
    > secondo
    > > di parlare della nostra merda, perche' quegli
    > > altri ci sembra che abbiano smesso di
    > > profumare".
    >
    > Se MS volesse fare apparire che non esistono bug
    > di sicurezza nei suoi prodotti non rilascerebbe
    > mai le patch, quindi il tuo discorso non sta in
    > piedi.
    >
    > > In parole povere: pagliuzze altrui per
    > distrarre
    > > dalla propria trave
    > > nell'oculo.
    >
    > Quale trave ? Questa ?
    >
    > http://punto-informatico.it/4407767/PI/News/androi


    Ma vattela a pigliar nel culo, va. Coito di un barboncino maltese. Rotola dal ridere
    non+autenticato
  • - Scritto da: panda rossa
    > Quando quella che ti chiami "segnalare i bug"
    > avviene mediante PI invece che utilizzando il
    > canale preposto, non si chiama piu' "segnalare i
    > bug" ma si chiama "smettete per qualche secondo
    > di parlare della nostra merda, perche' quegli
    > altri ci sembra che abbiano smesso di
    > profumare".

    Sai che sei su un sito di notizie sì?
    Sai che una notizia altro non è che la divulgazione di un avvenimento a chi non vi era presente sì?

    > In parole povere: pagliuzze altrui per distrarre
    > dalla propria trave
    > nell'oculo.

    In parole povere, ti stai arrampicando (malamente) sugli specchi per dare addosso a MS
    non+autenticato
  • Microsoft¹ è spacciata da tempo. Il declino irreversibile è lento ma è iniziato da molto tempo.
    Gli attuali nemici delle libertà sono google¹, facebook¹, apple¹ e red hat¹. E' tempo che ti aggiorni o mi sa c'è la trave nell'occhio ce l'hai tu. Ti faccio un esempio Google si comporta molto male nei confronti della privacy dei suoi utenti, peggio di microsoft anche considerando che Windows10 sia un malware/spyware. Basta non usarlo e sei a posto. Invece se ti trovi costretto a inviare un'email a un contatto che ha solo gmail non ci puoi fare niente se non entrare nel database di google (aveva "annunciato" che non legge più le email altrui per profilazione ma tutti sanno che non c'è da fidarsi di G. in quanto ¹ ).
    In questo caso microsoft ha ragione a bacchettare google. Si tratta del bue che da del cornuto all'asino ma fa bene.

    ¹ coincidenza: tutti collaboratori dell'NSA
    non+autenticato
  • - Scritto da: backdoor systemd
    > Invece se ti trovi costretto a inviare
    > un'email a un contatto che ha solo gmail non ci
    > puoi fare niente se non entrare nel database di
    > google

    Ok, prendiamo pure questo caso.

    Di che natura sara' mai una mail che devo inviare ad un contatto che ha solo gmail?

    E secondo te, per scrivere a tale contatto che ha solo gmail, che account utilizzero'?
  • - Scritto da: panda rossa
    > - Scritto da: backdoor systemd
    > > Invece se ti trovi costretto a inviare
    > > un'email a un contatto che ha solo gmail non
    > ci
    > > puoi fare niente se non entrare nel database
    > di
    > > google
    >
    > Ok, prendiamo pure questo caso.
    >
    > Di che natura sara' mai una mail che devo inviare
    > ad un contatto che ha solo
    > gmail?
    >
    > E secondo te, per scrivere a tale contatto che ha
    > solo gmail, che account
    > utilizzero'?

    Fai anche firmare un NDA a tutti i tuoi contatti? Perchè basta che uno sul suo account metta un contatto "Panda Rossa" con email(cazzeggio) = pandarossa@gmail.com e email(personale) = nome.cognome@azienda.it che sei nella stessa situazione...
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: panda rossa
    > > - Scritto da: backdoor systemd
    > > > Invece se ti trovi costretto a inviare
    > > > un'email a un contatto che ha solo
    > gmail
    > non
    > > ci
    > > > puoi fare niente se non entrare nel
    > database
    > > di
    > > > google
    > >
    > > Ok, prendiamo pure questo caso.
    > >
    > > Di che natura sara' mai una mail che devo
    > inviare
    > > ad un contatto che ha solo
    > > gmail?
    > >
    > > E secondo te, per scrivere a tale contatto
    > che
    > ha
    > > solo gmail, che account
    > > utilizzero'?
    >
    > Fai anche firmare un NDA a tutti i tuoi contatti?
    > Perchè basta che uno sul suo account metta un
    > contatto "Panda Rossa" con email(cazzeggio) =
    > pandarossa@gmail.com e email(personale) =
    > nome.cognome@azienda.it che sei nella stessa
    > situazione...

    Ripeto: di che contenuti stiamo parlando?
    Se e' cazzeggio privato, ho tredici dozzine di indirizzi diversi.
    Che posso pure cancellare o smettere di usare.

    Se e' per lavoro ho gli indirizzi aziendali che uso solo per attivita' di lavoro e tutto il resto finisce nello spam.
  • - Scritto da: panda rossa
    > Ripeto: di che contenuti stiamo parlando?
    > Se e' cazzeggio privato, ho tredici dozzine di
    > indirizzi
    > diversi.
    > Che posso pure cancellare o smettere di usare.
    >
    > Se e' per lavoro ho gli indirizzi aziendali che
    > uso solo per attivita' di lavoro e tutto il resto
    > finisce nello
    > spam.

    Ripeto: non è questione di quello che fai tu, ma se IO associo pandarossa@gmail.com a nomecognome@azienda.it (perchè ti conosco, perchè un conoscente comune mi ha girato la tua mail di lavoro su whatsapp, perchè ...), google SA che pandarossa e nomecognome sono la stessa persona.
    Magari non ne può essere certa al 100% ma se iniziano ad essere 2, 3, 4 persone a farlo, la tua privacy è quantomeno incrinata allo stesso modo che se l'avessi fatto tu
    non+autenticato