Milano – La storia di bug e patch tra Microsoft e Google si arricchisce di un nuovo capitolo: nelle scorse ore da Mountain View è giunta notizia di un bug che affligge Windows e il suo sottosistema grafico, un bug che in teoria avrebbe dovuto essere stato chiuso un anno fa ma che – secondo Google – ha lasciato ancora una porta aperta ai malintenzionati. Le segnalazioni inviate dagli scopritori a Microsoft non hanno sortito effetto: dopo 90 giorni è scattata la policy Project Zero di Big G, con la conseguente pubblicazione dei dettagli sul problema.
Da quanto si apprende, la patch MS16-074 emessa da Microsoft lo scorso giugno 2016 era destinata ad arginare una vulnerabilità legata alla libreria Windows Graphics Component GDI: un file EMF, che tipicamente contiene asset destinati alla grafica, può essere osato per attuare un attacco che offra accesso alla memoria del sistema. Si può sfruttare questa vulnerabilità per iniettare o prelevare informazioni dal PC vittima , così da poter introdurre codice indesiderato o sottrarre dati sensibili dalla memoria.
Il bug, come detto, sarebbe dovuto essere stato oggetto di una patch già rilasciata: ma non tutto è andato come avrebbe dovuto, i ricercatori di Google se ne sono accorti e hanno fatto presente il problema a Microsoft. Hanno atteso, invano, per 90 giorni una risposta di qualche tipo : risposta che non è mai arrivata. Da qui la decisione di rilasciare le informazioni sul problema, allo scopo di mettere sull’avviso gli utenti: una politica intrapresa da qualche tempo in quel di Mountain View, che già in precedenza ha visto agitarsi un po’ le acque tra California e Washington e che non farà felici i tecnici di Redmond.
Microsoft d’altra parte sta prendendo le misure alla nuova politica di gestione della sicurezza per il proprio software, che prevede nuovi meccanismi di rilascio delle patch: inoltre a febbraio il consueto patch tuesday, il primo del nuovo corso, è saltato ed è stato rinviato al prossimo mese a causa di una imperfetta soluzione a un bug che ha convinto i tecnici di Big M a rimandarne la pubblicazione. Da Redmond non hanno voluto chiarire quale fosse il problema che ha spinto a questa mossa praticamente senza precedenti da oltre 10 anni (il patch tuesday è nato nel 2003): non resta che attendere marzo per scoprire quale sarà la mole delle patch rilasciate, ormai mancano pochi giorni.
Luca Annunziata
Ti potrebbe interessare
21 feb 2017