Vulnerabilità Windows, Microsoft critica Google

Microsoft ha manifestato il suo disappunto verso Google. L'azienda di Mountain View ha divulgato i dettagli di un bug prima del rilascio della patch.
Vulnerabilità Windows, Microsoft critica Google
Microsoft ha manifestato il suo disappunto verso Google. L'azienda di Mountain View ha divulgato i dettagli di un bug prima del rilascio della patch.
Luca Colantuoni
Pubblicato il 12 gen 2015

Microsoft ha criticato la decisione di Google di divulgare i dettagli di una vulnerabilità scoperta in Windows 8.1, due giorni prima della distribuzione di una patch. In un lungo post pubblicato sul blog dedicato alla sicurezza, l’azienda di Redmond ha spiegato che i ricercatori e le software house dovrebbero collaborare per trovare le soluzioni migliori contro eventuali attacchi informatici. Il comportamento di Google, invece, potrebbe comportare gravi rischi per gli utenti.

Google ha avviato l’iniziativa Project Zero per individuare le vulnerabilità nei software e segnalare il problema ai rispetti fornitori. L’azienda di Mountain View ha stabilito un tempo massimo di 90 giorni, superati i quali vengono divulgati i dettagli del bug e il codice del proof-of-concept. Google ritiene che 90 giorni sia un tempo ragionevole per sviluppare una patch e che la divulgazione delle informazioni possa servire agli utenti per chiedere alle software house una risposta più rapida. Secondo Microsoft, invece, questo approccio è sbagliato, in quanto la divulgazione dei dettagli prima della disponibilità di un fix rappresenta un grave pericolo per gli utenti.

Microsoft considera la filosofia CVD (Coordinated Vulnerability Disclosure) il miglior approccio per minimizzare i rischi. Le statistiche dimostrano che quasi nessuna vulnerabilità segnalata privatamente è stata sfruttata dai cybercriminali, mentre diversi attacchi sono stati effettuati quando la vulnerabilità è stata divulgata pubblicamente, prima del rilascio della patch. Ciò significa che la pubblicazione dei dettagli non è servita a nulla, perché molti utenti non hanno le competenze per proteggere il proprio computer.

Un altro aspetto critico è l’ammontare di tempo da ritenere ragionevole prima che venga comunicata l’esistenza di una vulnerabilità. Microsoft sostiene che l’obiettivo è proteggere i consumatori. Quindi i ricercatori di sicurezza che trovano un bug nei prodotti concorrenti non dovrebbero imporre una scadenza. La realizzazione di un patch è un lavoro piuttosto impegnativo che richiede indagini approfondite e tempi variabili, a seconda della complessità del software. La corretta strategia è quella di segnalare le vulnerabilità in privato e collaborare in modo proficuo.

Ti consigliamo anche

Windows 11, nuovo aggiornamento obbligatorio di Microsoft: c'è un pericolo
Microsoft

Windows 11, nuovo aggiornamento obbligatorio di Microsoft: c'è un pericolo
Aumento dei prezzi e nuovo piano
Gadget e Device

Aumento dei prezzi e nuovo piano "standard" per Xbox Game Pass: ecco cosa cambia
Non serve la console: da oggi è possibile giocare con Xbox attraverso Fire TV Stick
Gadget e Device

Non serve la console: da oggi è possibile giocare con Xbox attraverso Fire TV Stick
Nuova Xbox Series X annunciata ufficialmente: bianca e senza lettore Blue Ray
Gadget e Device

Nuova Xbox Series X annunciata ufficialmente: bianca e senza lettore Blue Ray
Link copiato negli appunti