È ancora una volta scontro per la “divulgazione responsabile” delle informazioni sui bug di sicurezza nel software, ambito che da un po’ di tempo vede Microsoft e Google impegnate a parlarsi addosso riguardo l’approccio più corretto da tenere nei confronti delle aziende interessate e dell’industria tutta.
In questi giorni la palla è passata a Microsoft , che ha individuato una vulnerabilità di sicurezza nel browser Chrome e l’ha responsabilmente comunicato a Google (con tanto di codice di exploit funzionante) per le patch del caso.
Redmond ha avvertito Mountain View dell’esistenza del problema lo scorso 14 settembre, e gli ingegneri del software di Chromium/Chrome hanno chiuso la falla entro una settimana . Ma solo nella versione beta del browser , sottolinea Microsoft, mentre il canale delle release stabili – quelle evidentemente più popolari presso l’utenza – ha continuato ad essere vulnerabile per “quasi un mese”.
Il fix per la falla è risultato disponibile su Github per tutto quel tempo, e i cyber-criminali hanno sicuramente potuto approfittare del fatto analizzando il codice ed estrapolando i dettagli della vulnerabilità da sfruttare in uno dei loro attacchi.
Rendere disponibili i dettagli di un bug prima di una patch “stabile” rappresenta un approccio “problematico” alla sicurezza informatica, dice Redmond, e la mente corre subito allo stesso caso capitato lo scorso novembre : all’epoca Google aveva pubblicato i dettagli su un bug nel kernel di Windows senza prima attendere la distribuzione di una patch correttiva da parte di Microsoft. Un comportamento che Redmond continua evidentemente a giudicare irresponsabile .
Ti potrebbe interessare
20 ott 2017