Google ha divulgato una falla di sicurezza in Microsoft Edge questa settimana, dopo che Microsoft non è riuscita a risolverla in tempo. Ora il team di ricercatori di sicurezza del Project Zero di Google stanno diffondendo un’altra falla di sicurezza di Windows 10 che Microsoft di nuovo non è riuscita a patchare nel periodo di 90 giorni imposto da Google. Neowin ha avvisato che Google ha riportato due bugs a Microsoft in Novembre, ma l’azienda ne ha corretto solo uno con le sue soluzioni nel recente Patch Tuesday.

L’ultimo problema non patchato è un’Elevazione di Privilegi che permette agli utenti normali di guadagnare privilegi di amministratore su un sistema. Microsoft ha classificato la falla come “importante”, ma non “critica” dato che non può essere sfruttata da remoto. È comunque un importante problema da sistemare, dato che un attaccante potrebbe potenzialmente combinarlo con un codice separato sconosciuto per guadagnare accesso come amministratore, sebbene sia uno scenario improbabile Microsoft dovrebbe sistemarlo velocemente.

Non è chiaro quando Microsoft intenda risolvere l’ultima falla di sicurezza di Windows 10, e l’azienda ha ancora bisogno di risolvere la vulnerabilità in Edge che è stata diffusa da Google questa settimana. Google e Microsoft hanno una storia di disapprovazione riguardo all’approccio di Google nella diffusione delle vulnerabilità. Microsoft ha risposto all’approccio di Google sulle patch di sicurezza l’anno scorso, dopo aver scoperto una falla di Chrome ed averlo “responsabilmente” diffuso a Google così che l’azienda avesse abbastanza tempo per patcharla.

La politica di Google di diffondere dopo 90 giorni senza una patch è spesso criticata ed apprezzata in egual misura. Ci sono molte prove a suggerire che le vulnerabilità di sicurezza stanno crescendo in Windows e nell’industria, e Microsoft ha chiaramente lottato per risolvere questi due problemi con molta attenzione. Si può anche dire che Google stia rendendo i  software concorrenti più sicuri con i propri sforzi, rendendo il software di chiunque sicuro. Comunque, Google ha anche interessi di competitività commerciale, e Project Zero è stato stranamente aggressivo nel trovare e pubblicare nuove vulnerabilità.

Reports suggeriscono che il team Project Zero di Google è nato dalla caduta di Google nell’hack del 2009, un’intrusione di cui è stata incolpata una falla non patchata nel browser Internet Explorer 6 di Microsoft.

Google fa eccezioni alle sue regole, con periodi di grazia, e può anche diffondere molto prima se la vulnerabilità è attivamente sfruttata. Google ha diffuso un grande bug di Windows nel 2016 appena 10 giorni dopo averlo riportato a Microsoft, e l’azienda ha rivelato bugs zero-day in Windows in passato, prima che le patch fossero disponibili.

Categorie: Senza categoria

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *