L’ennesima falla “zero-day” individuata in Internet Explorer porta a un piccolo scontro diplomatico tra Microsoft e Google, con la prima che contesta la versione dei fatti di Michal Zalewski (ingegnere della seconda) e l’ipotesi che la vulnerabilità sia stata individuata “indipendentemente” da ignoti cracker cinesi.
Redmond e Mountain View sono prima di tutto in disaccordo sul ruolo giocato nella vicenda da cross_fuzz , il tool ideato da Zalewski nel suo tempo libero e pensato per l’individuazione automatizzata di potenziali problemi di sicurezza all’interno dei browser più usati (Firefox o lo stesso Internet Explorer, ad esempio).
IE, neanche a dirlo, ha fatto incetta di vulnerabilità risultando “bucato” per quasi 100 diverse istanze nei dati sin qui raccolti da cross_fuzz. I dettagli di uno di questi bachi, concernente “un crash chiaramente sfruttabile” da parte di malintenzionati, sono stati “involontariamente” rivelati a qualcuno dotato di un IP cinese , denuncia ora Zalewski.
I log di navigazione mostrano che il server contenente le informazioni incriminate è stato visitato dall’ignoto IP asiatico di cui sopra, dice l’ingegnere di Google. Ma il navigatore è finito sulle macchine di Mountain View cercando riferimenti alla vulnerabilità di IE, e il fatto che al tempo le uniche informazioni indicizzate fossero quelle pubblicate da Google lascia intendere – dice sempre Zlewski – che il cracker avesse già individuato in precedenza il baco con strumenti diversi da cross_fuzz.
Microsoft, invece, dice di non aver al momento informazioni riguardanti la parentela tra il lavoro di indagine fatto da cross_fuzz ed eventuali attacchi o exploit esterni. Zlewski sostiene di aver rilasciato la nuova versione di cross_fuzz a inizio anno, ma da Redmond dicono invece che l’utilizzo di tale release e delle informazioni sul baco vada retrodatato al 21 dicembre scorso . Le date non coincidono, mentre le indagini sono tutt’ora in corso.
Alfonso Maruccia
Ti potrebbe interessare
4 gen 2011