Bug in Windows, scherzetto di Google a Microsoft

Google ha divulgato i dettagli di una grave vulnerabilità presente in Windows, ma Microsoft non ha avuto il tempo per sviluppare e distribuire la patch.
Bug in Windows, scherzetto di Google a Microsoft
Google ha divulgato i dettagli di una grave vulnerabilità presente in Windows, ma Microsoft non ha avuto il tempo per sviluppare e distribuire la patch.

Il 31 ottobre si celebra Halloween, la festa di origine celtica diventata popolare anche in Italia. Google ha quindi sfruttato l’occasione per pubblicare i dettagli di una grave vulnerabilità zero-day presente in Windows. Microsoft ha ovviamente espresso il suo disappunto perché non ha avuto il tempo di sviluppare una patch, ma l’azienda di Mountain View ritiene che lo “scherzetto” è lecito, in quanto rispetta la timeline per la divulgazione in vigore da oltre tre anni.

La vulnerabilità, scoperta dal Google Threat Analysis Group in Flash Player e nel kernel di Windows, è stata segnalata alle due aziende il 21 ottobre. Adobe ha rilasciato il 26 ottobre una nuova versione del plugin (23.0.0.205) che risolve il bug. Come è noto, Chrome viene aggiornato automaticamente, per cui gli utenti non devono scaricare il plugin dal sito Adobe. Invece la falla individuata nel kernel di Windows non è stata ancora corretta. Il rischio di diventare un bersaglio di eventuali attacchi è abbastanza alto, dato che l’exploit è già in circolazione su Internet.

La vulnerabilità in win32k.sys può essere sfruttata per ottenere privilegi di amministratore, eludere la protezione della sandbox e guadagnare il controllo totale del sistema operativo. Chrome blocca le chiamate al file win32k.sys, utilizzando la tecnica Win32k lockdown su Windows 10, ma Windows 8.1 e Windows 7 non sono protetti. Il problema rimane se l’utente usa un altro browser.

Google sostiene che sette giorni siano sufficienti per sviluppare un fix o comunque per pubblicare un avviso di sicurezza con le possibili soluzioni temporanee. Molte software house ritengono invece che non è possibile scrivere, testare e distribuire una patch in una settimana, soprattutto se il software è molto complesso, come un sistema operativo. Microsoft ha dichiarato che Google ha messo in pericolo gli utenti e che il fix verrà rilasciato al più presto. Nel frattempo, l’azienda di Redmond consiglia di utilizzare Windows 10 e Microsoft Edge per una maggiore protezione.

Ti consigliamo anche

Link copiato negli appunti