Elia Tufarolo

Microsoft Equation Editor, il payload è già in circolo

Reversing Labs ha rilevato un exploit utilizzato dal team russo Cobalt Strike che sfrutta lo "storico" bug dell'Equation Editor di Office. Nel frattempo, un'analisi condotta dal team 0Patch dimostra che Redmond ha patchato direttamente l'eseguibile senza ricompilarlo

Roma - La vulnerabilità CVE-2017-11882, presente da oltre 17 anni in tutte le versioni di Microsoft Office e scoperta solo una settimana fa dai ricercatori di Embedi, è già stata utilizzata all'interno di una campagna di malware.

Il componente di Office responsabile della vulnerabilità è il Microsoft Equation Editor, nello specifico il suo eseguibile EQNEDT32.EXE, risalente al 2000 e mantenuto all'interno del software per backward compatibility: ciononostante, non è stato mai messo in compliance con gli ultimi standard di sicurezza adottati da Redmond, e perciò consente ad utenti malevoli di eseguire codice remoto sulla macchina sfruttando un errore di buffer overflow.

Gli esperti di sicurezza di Reversing Labs hanno ravvisato la presenza di un exploit relativo a questa vulnerabilità all'interno di una delle campagne di malware portate avanti dal team di cyber-criminali russo Cobalt.
Il post di Reversing Labs contiene ulteriori informazioni: l'indirizzo IP del server da cui vengono scaricati i payload, gli indicatori di compromissione (una sessantina, divisi in due ondate distinte) e la regola per il tool YARA con cui sono riusciti a rilevare l'exploit.

Nel frattempo, la patch per questa vulnerabilità è stata resa disponibile con il patch Tuesday di Novembre: un'analisi tecnica condotta dal team 0Patch ha permesso di scoprire che l'eseguibile dell'Equation Editor non è stato ricompilato, ma patchato manualmente. Ciò si evince dal fatto che gli offset delle funzioni presenti all'interno delle due versioni dell'eseguibile - quella vulnerabile e quella patchata - coincidono perfettamente.

indirizzi delle funzioni del Microsoft Equation Editor

Le motivazioni dietro questa scelta di Microsoft sono probabilmente dovute al fatto che il codice dell'eseguibile sia andato perduto.



Il team 0Patch ha inoltre scoperto che Microsoft ha patchato anche altre funzioni, per un totale di cinque, oltre a quelle responsabili della vulnerabilità: probabilmente l'analisi effettuata ha permesso la scoperta di problematiche simili che sono state quindi risolte preventivamente.

Infine, Microsoft ha abilitato il bit ASLR (Address Space Layout Randomization), settando il flag IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE all'interno della struttura dati IMAGE_OPTIONAL_HEADER: così facendo ha abilitato un'ulteriore misura di sicurezza contro i rischi di corruzione di memoria: va tuttavia ricordato che, per le versioni di Windows pari o superiori alla 8, un bug di ASLR è in attesa di essere patchato da Redmond.

Elia Tufarolo

Fonte Immagine
Notizie collegate
  • AttualitàOffice, vulnerabilità vecchia di 17 anniI ricercatori scovano l'ennesimo bug nella suite per la produttività di Microsoft, una falla che Office si porta dietro da quasi due decadi e che potrebbe presto diventare un'autentica cyber-arma a disposizione delle peggiori intenzioni
  • SicurezzaWindows, ASLR disabilitato di defaultUn meccanismo di sicurezza fondamentale viene in pratica reso inutile da una configurazione incorretta nel Registro di Windows dalla versione 8 alla più recente 10. Un problema grave ma di facile soluzione in attesa della patch ufficiale
28 Commenti alla Notizia Microsoft Equation Editor, il payload è già in circolo
Ordina
  • la patch per questa vulnerabilità è stata resa disponibile con il patch Tuesday di Novembre

    È proprio il caso di festeggiare!
    Clicca per vedere le dimensioni originali
    non+autenticato
  • se le modifiche sono state minime, è normale che l'offset sia rimasto lo stesso
    non+autenticato
  • - Scritto da: GARY
    > se le modifiche sono state minime, è normale che
    > l'offset sia rimasto lo
    > stesso

    Non sono molte le probabilità che le parte da sostituire sia dell'easatta dimensione della parte nuova corretta, tanto più dopo ricompilazione.
    Quando applichi patch direttamente sul modulo eseguibile, eviti il problema di reindirizzamento ponendo al posto della prima istruzione da sostituire un branch incondizionato al fondo del programma ovvero in un'area sicuramente non raggiunta da alcuna istruzion dello stesso, dove componi tutte le nuove istruzioni macchina ed alla fine rientri con altro branch alla coda del blocco da sostituire.
    I programmatori assembler validi prevedono (prevedevano) sempre un'area di patch lasciata libera per poter accogliere codice macchina aggiuntivo.
  • Ma si puo' essere piu' cialtroni di questi qua?

    Hanno patchato l'eseguibile invece di correggere i sorgenti e ricompilare!
    Una cosa che ha una sola spiegazione:

    SI SONO PERSI I SORGENTI!

    Niente di piu' facile per uno strumento vecchio di 17 anni, sommato alla sciagurata politica del closed source!

    Nel mondo open si potra' dire di tutto, ma mai che siano cosi' idioti da perdersi i sorgenti!
  • - Scritto da: panda rossa
    > Ma si puo' essere piu' cialtroni di questi qua?
    >
    > Hanno patchato l'eseguibile invece di correggere
    > i sorgenti e
    > ricompilare!
    > Una cosa che ha una sola spiegazione:
    >
    > SI SONO PERSI I SORGENTI!

    * Di un eseguibile che rimaneva in giro solo per ragioni di compatibilità con i vecchi formati del documento
    * Che non aveva mai evidenziato problemi fino a pochi giorni fa
    * Di cui la nuova versione è in giro da 7 anni
    * Compilato l'ultima (e unica?) volta nel 2000
    * Da una società terza (Design Science, software basato su un sottoinsieme del loro MathType; tu sai se avevano acquistato i sorgenti?)

    > Niente di piu' facile per uno strumento vecchio
    > di 17 anni, sommato alla sciagurata politica del
    > closed
    > source!

    Figura barbina, sicuramente.
    Però hanno comunque corretto il problema, ed è quello che conta

    > Nel mondo open si potra' dire di tutto, ma mai
    > che siano cosi' idioti da perdersi i
    > sorgenti!

    https://opensource.stackexchange.com/questions/591...
    non+autenticato
  • - Scritto da: eccerto
    > - Scritto da: panda rossa
    > > Ma si puo' essere piu' cialtroni di questi
    > qua?
    > >
    > > Hanno patchato l'eseguibile invece di
    > correggere
    > > i sorgenti e
    > > ricompilare!
    > > Una cosa che ha una sola spiegazione:
    > >
    > > SI SONO PERSI I SORGENTI!
    >
    > * Di un eseguibile che rimaneva in giro solo per
    > ragioni di compatibilità con i vecchi formati del
    > documento
    > * Che non aveva mai evidenziato problemi fino a
    > pochi giorni
    > fa
    > * Di cui la nuova versione è in giro da 7 anni
    > * Compilato l'ultima (e unica?) volta nel 2000
    > * Da una società terza (Design Science, software
    > basato su un sottoinsieme del loro MathType; tu
    > sai se avevano acquistato i
    > sorgenti?)

    FOTTE SEGA!
    Loro distribuiscono, loro sono responsabili!


    > > Niente di piu' facile per uno strumento
    > vecchio
    > > di 17 anni, sommato alla sciagurata politica
    > del
    > > closed
    > > source!
    >
    > Figura barbina, sicuramente.
    > Però hanno comunque corretto il problema, ed è
    > quello che
    > conta

    Hanno corretto (forse) questo problema.
    E di tutte le altre vulnerabilita' presenti in quell'eseguibile che non potranno essere corrette patchando l'eseguibile, ne vogliamo parlare?

    > > Nel mondo open si potra' dire di tutto, ma
    > mai
    > > che siano cosi' idioti da perdersi i
    > > sorgenti!
    >
    > https://opensource.stackexchange.com/questions/591

    Intendi forse paragonare un programmatore con una multinazionale?
    E comunque se quel tizio ha distribuito i sorgenti prima di perderli, e qualcuno era interessato a quel pacchetto, qualcuno quei sorgenti li ha.
    Se invece nessuno era interessato a quel pacchetto, non e' una gran perdita.
  • - Scritto da: panda rossa
    > - Scritto da: eccerto
    > > - Scritto da: panda rossa
    > > > Ma si puo' essere piu' cialtroni di
    > questi
    > > qua?
    > > >
    > > > Hanno patchato l'eseguibile invece di
    > > correggere
    > > > i sorgenti e
    > > > ricompilare!
    > > > Una cosa che ha una sola spiegazione:
    > > >
    > > > SI SONO PERSI I SORGENTI!
    > >
    > > * Di un eseguibile che rimaneva in giro solo
    > per
    > > ragioni di compatibilità con i vecchi
    > formati
    > del
    > > documento
    > > * Che non aveva mai evidenziato problemi
    > fino
    > a
    > > pochi giorni
    > > fa
    > > * Di cui la nuova versione è in giro da 7
    > anni
    > > * Compilato l'ultima (e unica?) volta nel
    > 2000
    > > * Da una società terza (Design Science,
    > software
    > > basato su un sottoinsieme del loro MathType;
    > tu
    > > sai se avevano acquistato i
    > > sorgenti?)
    >
    > FOTTE SEGA!
    > Loro distribuiscono, loro sono responsabili!

    Infatti hanno corretto. A mano, come potevano, ma hanno corretto.

    >
    > > > Niente di piu' facile per uno strumento
    > > vecchio
    > > > di 17 anni, sommato alla sciagurata
    > politica
    > > del
    > > > closed
    > > > source!
    > >
    > > Figura barbina, sicuramente.
    > > Però hanno comunque corretto il problema, ed
    > è
    > > quello che
    > > conta
    >
    > Hanno corretto (forse) questo problema.
    > E di tutte le altre vulnerabilita' presenti in
    > quell'eseguibile che non potranno essere corrette
    > patchando l'eseguibile, ne vogliamo
    > parlare?

    Ne parleremo se e quando salteranno fuori ok?

    > > > Nel mondo open si potra' dire di tutto,
    > ma
    > > mai
    > > > che siano cosi' idioti da perdersi i
    > > > sorgenti!
    > >
    > >
    > https://opensource.stackexchange.com/questions/591
    >
    > Intendi forse paragonare un programmatore con una
    > multinazionale?

    Sei sempre tu che paragoni "il mondo open source" con il resto. Io mi limito a limitare le tue sparateSorride

    > E comunque se quel tizio ha distribuito i
    > sorgenti prima di perderli, e qualcuno era
    > interessato a quel pacchetto, qualcuno quei
    > sorgenti li
    > ha.
    > Se invece nessuno era interessato a quel
    > pacchetto, non e' una gran
    > perdita.

    Sei tu che stabilisci il limite oltre il quale un software non è più interessante? che dici 7 anni bastano?
    non+autenticato
  • - Scritto da: eccerto

    > > FOTTE SEGA!
    > > Loro distribuiscono, loro sono responsabili!
    >
    > Infatti hanno corretto. A mano, come potevano, ma
    > hanno
    > corretto.

    Dicono.
    E tu ti fidi.
    E tu hai il coraggio di usare ancora quella roba.
    Sei peggio di loro.

    > > > > Niente di piu' facile per uno
    > strumento
    > > > vecchio
    > > > > di 17 anni, sommato alla sciagurata
    > > politica
    > > > del
    > > > > closed
    > > > > source!
    > > >
    > > > Figura barbina, sicuramente.
    > > > Però hanno comunque corretto il
    > problema,
    > ed
    > > è
    > > > quello che
    > > > conta
    > >
    > > Hanno corretto (forse) questo problema.
    > > E di tutte le altre vulnerabilita' presenti
    > in
    > > quell'eseguibile che non potranno essere
    > corrette
    > > patchando l'eseguibile, ne vogliamo
    > > parlare?
    >
    > Ne parleremo se e quando salteranno fuori ok?

    Non ci sara' da aspettare molto.

    > > > > Nel mondo open si potra' dire di
    > tutto,
    > > ma
    > > > mai
    > > > > che siano cosi' idioti da perdersi
    > i
    > > > > sorgenti!
    > > >
    > > >
    > >
    > https://opensource.stackexchange.com/questions/591
    > >
    > > Intendi forse paragonare un programmatore
    > con
    > una
    > > multinazionale?
    >
    > Sei sempre tu che paragoni "il mondo open source"
    > con il resto. Io mi limito a limitare le tue
    > sparate
    >Sorride

    Il mondo open source, come hai dimostrato con quel link, non ha alcuna difficolta' ad ammettere di essersi perso i sorgenti.

    Hai per caso il link del documento in cui M$ si vergogna pubblicamente di essersi persa i sorgenti di un modulo fondamentale del suo ecosistema, e il conseguente licenziamento dei responsabili?

    Senza fretta.

    >
    > > E comunque se quel tizio ha distribuito i
    > > sorgenti prima di perderli, e qualcuno era
    > > interessato a quel pacchetto, qualcuno quei
    > > sorgenti li
    > > ha.
    > > Se invece nessuno era interessato a quel
    > > pacchetto, non e' una gran
    > > perdita.
    >
    > Sei tu che stabilisci il limite oltre il quale un
    > software non è più interessante? che dici 7 anni
    > bastano?

    L'interesse di un software non si misura in anni, ma in download.
    Se viene scaricato anche ad anni di distanza, interessa.
    Altrimenti non interessa.
  • - Scritto da: panda rossa
    > - Scritto da: eccerto
    >
    > > Infatti hanno corretto. A mano, come
    > potevano,
    > ma
    > > hanno
    > > corretto.
    >
    > Dicono.
    > E tu ti fidi.
    > E tu hai il coraggio di usare ancora quella roba.
    > Sei peggio di loro.

    Hanno analizzato i binari.
    Il problema è stato corretto.
    Se ne sai una pagina più del libro manda una mail a 0Patch, evidentemente sono degli incompetenti in materia.
    Mi chiedo allora se davvero abbiano capito che MS ha perso i sorgenti o no...

    > > Ne parleremo se e quando salteranno fuori ok?
    >
    > Non ci sara' da aspettare molto.

    Può essere. Intanto mi daresti i numeri del lotto?


    > > Sei sempre tu che paragoni "il mondo open
    > source"
    > > con il resto. Io mi limito a limitare le tue
    > > sparate
    > >Sorride
    >
    > Il mondo open source, come hai dimostrato con
    > quel link, non ha alcuna difficolta' ad ammettere
    > di essersi perso i
    > sorgenti.

    E chi ha detto niente a riguardo.

    > Hai per caso il link del documento in cui M$ si
    > vergogna pubblicamente di essersi persa i
    > sorgenti di un modulo fondamentale del suo
    > ecosistema, e il conseguente licenziamento dei
    > responsabili?

    Fondamentale? Un editor di equazioni che è in giro per retrocompatibilità e che è stato rimpiazzato almeno dalla versione di Office 2010?

    Se poi i responsabili sono stati licenziati o altro non devono venire a dirtelo a te, tanto più se i responsabili sono quelli che sono riusciti a patchare a mano un binario.

    > > Sei tu che stabilisci il limite oltre il
    > quale
    > un
    > > software non è più interessante? che dici 7
    > anni
    > > bastano?
    >
    > L'interesse di un software non si misura in anni,
    > ma in
    > download.
    > Se viene scaricato anche ad anni di distanza,
    > interessa.
    > Altrimenti non interessa.

    Tizio rilascia software
    Tizio perde i sorgenti
    Adesso Caio chiede i sorgenti e Tizio chiede su un forum com'è la situazione avendo perso i sorgenti.
    Era un software interessante quindi? Tizio è un coglione ad aver perso i sorgenti di un software interessante oppure dopo tot anni che nessuno se l'è cagato non è più considerato software interessante e quindi fa niente se ha perso i sorgenti?
    non+autenticato
  • - Scritto da: eccerto
    > - Scritto da: panda rossa
    > > - Scritto da: eccerto
    > >
    > > > Infatti hanno corretto. A mano, come
    > > potevano,
    > > ma
    > > > hanno
    > > > corretto.
    > >
    > > Dicono.
    > > E tu ti fidi.
    > > E tu hai il coraggio di usare ancora quella
    > roba.
    > > Sei peggio di loro.
    >
    > Hanno analizzato i binari.
    > Il problema è stato corretto.

    Ma tu sei per davvero un povero coglione o fai solo finta?

    Analizzare i binari e' idiozia pura se possiedi i sorgenti.

    Quindi una delle due: o sono idioti perche' analizzano i binari avendo i sorgenti, o sono coglioni perche' hanno perso i sorgenti.

    > Se ne sai una pagina più del libro manda una mail
    > a 0Patch, evidentemente sono degli incompetenti
    > in
    > materia.
    > Mi chiedo allora se davvero abbiano capito che MS
    > ha perso i sorgenti o
    > no...

    Abbiamo capito che in quanto a conoscenza di informatica, tu sei a livello dei macachi.

    >
    > > > Ne parleremo se e quando salteranno
    > fuori
    > ok?
    > >
    > > Non ci sara' da aspettare molto.
    >
    > Può essere. Intanto mi daresti i numeri del lotto?

    Come no, se li sapessi li vengo a dire a te!

    > > > Sei sempre tu che paragoni "il mondo
    > open
    > > source"
    > > > con il resto. Io mi limito a limitare
    > le
    > tue
    > > > sparate
    > > >Sorride
    > >
    > > Il mondo open source, come hai dimostrato con
    > > quel link, non ha alcuna difficolta' ad
    > ammettere
    > > di essersi perso i
    > > sorgenti.
    >
    > E chi ha detto niente a riguardo.
    >
    > > Hai per caso il link del documento in cui M$
    > si
    > > vergogna pubblicamente di essersi persa i
    > > sorgenti di un modulo fondamentale del suo
    > > ecosistema, e il conseguente licenziamento
    > dei
    > > responsabili?
    >
    > Fondamentale? Un editor di equazioni che è in
    > giro per retrocompatibilità e che è stato
    > rimpiazzato almeno dalla versione di Office
    > 2010?

    E allora lo dismetti.
    Che cosa lo tieni a fare nel sistema? A fornire una falla agli aggressori?

    > Se poi i responsabili sono stati licenziati o
    > altro non devono venire a dirtelo a te, tanto più
    > se i responsabili sono quelli che sono riusciti a
    > patchare a mano un
    > binario.

    Responsabili de che?

    >
    > > > Sei tu che stabilisci il limite oltre il
    > > quale
    > > un
    > > > software non è più interessante? che
    > dici
    > 7
    > > anni
    > > > bastano?
    > >
    > > L'interesse di un software non si misura in
    > anni,
    > > ma in
    > > download.
    > > Se viene scaricato anche ad anni di distanza,
    > > interessa.
    > > Altrimenti non interessa.
    >
    > Tizio rilascia software
    > Tizio perde i sorgenti
    > Adesso Caio chiede i sorgenti e Tizio chiede su
    > un forum com'è la situazione avendo perso i
    > sorgenti.
    > Era un software interessante quindi? Tizio è un
    > coglione ad aver perso i sorgenti di un software
    > interessante oppure dopo tot anni che nessuno se
    > l'è cagato non è più considerato software
    > interessante e quindi fa niente se ha perso i
    > sorgenti?

    Dopo tot anni che nessuno se l'e' cagato non e' piu' considerato software interessante.
    Strano che Caio sia entrato in possesso dell'eseguibile.
  • - Scritto da: panda rossa
    > Ma tu sei per davvero un povero coglione o fai
    > solo
    > finta?
    >
    > Analizzare i binari e' idiozia pura se possiedi i
    > sorgenti.

    Quelli di 0Patch hanno analizzato i binari, e LORO hanno detto che la patch c'è, quindi MS ha detto "abbiamo patchato" e 0Patch ha confermato, aggiungendo "hanno patchato sul binario". Come dicono altri più sotto il COME e il PERCHE' abbiano patchato direttamente il binario non è dato saperlo.

    > Abbiamo capito che in quanto a conoscenza di
    > informatica, tu sei a livello dei
    > macachi.

    Abbiamo capito che in quanto a comprensione del testo tu sei anche peggio.

    > E allora lo dismetti.
    > Che cosa lo tieni a fare nel sistema? A fornire
    > una falla agli
    > aggressori?

    Fino a due settimane fa non si sapeva della falla, e si manteneva come cortesia per quelli che ancora devono gestire documenti vecchi. Uscito il problema, patchato.

    > Responsabili de che?

    Tu hai parlato di licenziare i responsabili, di quali responsabili stai parlando?

    > >
    > > > > Sei tu che stabilisci il limite
    > oltre
    > il
    > > > quale
    > > > un
    > > > > software non è più interessante?
    > che
    > > dici
    > > 7
    > > > anni
    > > > > bastano?
    > > >
    > > > L'interesse di un software non si
    > misura
    > in
    > > anni,
    > > > ma in
    > > > download.
    > > > Se viene scaricato anche ad anni di
    > distanza,
    > > > interessa.
    > > > Altrimenti non interessa.

    > Dopo tot anni che nessuno se l'e' cagato non e'
    > piu' considerato software
    > interessante.

    Ma prima dici che non si misura in anni, ma in downloadTriste nel momento in cui Caio ha scaricato l'eseguibile è tornato interessante

    > Strano che Caio sia entrato in possesso
    > dell'eseguibile.

    Oh bella, trovi di tutto sull'internet, e ti stupisci che c'è gente che ha recuperato un software?
    non+autenticato
  • Mi intrometto a gamba tesa per una piccola considerazione più sul serio: il software nel mondo open è come una ricetta di cucina, non è un prodotto, è conoscenza che si distribuisce ed evolve. Nel mondo closed è un prodotto commerciale, per continuare il paragone lo si può considerare come un piatto venduto al ristorante/una torta in pasticceria ecc.

    Ora se la "ricetta" interessa tanti chi la "gestisce" ha una certa responsabilità, morale ma non formale, nel gestirla come si deve, ma il danno di eventuali errori è relativo, ci sono "versioni" diverse della ricetta, ci sono patch dei singoli packagers delle singole distro ecc. 'somma se si perde qualcosa è perché l'interesse *comune* è marginale. Pensa solo ai dcvs: se un progetto comunitario, libero è diffuso perdere tutte le copie del repo è talmente improbabile da dire che se accade ci sono altri problemi più urgenti di cui occuparsi (tipo guerra nucleare, tempesta solare, asteroide gigante contro il pianete ecc). Per contro nel modello commerciale se *compro* una torta, o meglio il mero diritto di mangiarla ho tutto il diritto razionale di voler certe garanzie (esplicitamente escluse, peraltro nelle varie EULA). Per dire se in cucina un cuoco ha perso dei capelli nella minestra ho il diritto di chiederne un'altra, non di aver lo chef con le pinzette che leva i capelli dal piatto. Inoltre non ho scelta: se la minestra la faccio in casa posso seguire o variare la ricetta, se la compro fatta da qualcuno dipendo interamente da lui.
    non+autenticato
  • Ma condivido in tutto con quanto dici, i miei interventi sono limitati a far capire (invano) al pandino che il mondo non è bianco o nero, ma che ci sono un'infinità di sfumature e che sì, a volte shit happens (come in questo caso) ma (sempre come in questo caso, per ora) non c'è bisogno di farne un dramma. Il problema sembra essere stato comunque risolto.
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: eccerto
    > > - Scritto da: panda rossa
    > > > Ma si puo' essere piu' cialtroni di
    > questi
    > > qua?
    > > >
    > > > Hanno patchato l'eseguibile invece di
    > > correggere
    > > > i sorgenti e
    > > > ricompilare!
    > > > Una cosa che ha una sola spiegazione:
    > > >
    > > > SI SONO PERSI I SORGENTI!
    > >
    > > * Di un eseguibile che rimaneva in giro solo
    > per
    > > ragioni di compatibilità con i vecchi
    > formati
    > del
    > > documento
    > > * Che non aveva mai evidenziato problemi
    > fino
    > a
    > > pochi giorni
    > > fa
    > > * Di cui la nuova versione è in giro da 7
    > anni
    > > * Compilato l'ultima (e unica?) volta nel
    > 2000
    > > * Da una società terza (Design Science,
    > software
    > > basato su un sottoinsieme del loro MathType;
    > tu
    > > sai se avevano acquistato i
    > > sorgenti?)
    >
    > FOTTE SEGA!
    > Loro distribuiscono, loro sono responsabili!
    >
    >
    > > > Niente di piu' facile per uno strumento
    > > vecchio
    > > > di 17 anni, sommato alla sciagurata
    > politica
    > > del
    > > > closed
    > > > source!
    > >
    > > Figura barbina, sicuramente.
    > > Però hanno comunque corretto il problema, ed
    > è
    > > quello che
    > > conta
    >
    > Hanno corretto (forse) questo problema.
    > E di tutte le altre vulnerabilita' presenti in
    > quell'eseguibile che non potranno essere corrette
    > patchando l'eseguibile, ne vogliamo
    > parlare?
    >
    > > > Nel mondo open si potra' dire di tutto,
    > ma
    > > mai
    > > > che siano cosi' idioti da perdersi i
    > > > sorgenti!
    > >
    > >
    > https://opensource.stackexchange.com/questions/591
    >
    > Intendi forse paragonare un programmatore con una
    > multinazionale?
    > E comunque se quel tizio ha distribuito i
    > sorgenti prima di perderli, e qualcuno era
    > interessato a quel pacchetto, qualcuno quei
    > sorgenti li
    > ha.
    > Se invece nessuno era interessato a quel
    > pacchetto, non e' una gran
    > perdita.

    Dimentichi una cosa; una catena è forte quanto il suo anello più debole; non è più forte perchè costituita di più anelli.

    La validità di un software complesso è funzione di quanto è valido il più valido degli appartenenti al team, non del numero degli stessi.
    Le multinazionali mettono in campo numeri maggiori, ma quanto a validità dei componenti è tutto da vedere, dato l'andazzo di simili carrozzoni.