Non tutte le vulnerabilità a cui Microsoft mette una pezza sono rese ufficialmente pubbliche. Non sempre, insomma, alle vulnerabilità risolte dalle patch distribuite corrisponde l’esatto numero di interventi che il gruppo infonde sul codice. L’ammissione è avvenuta in occasione di un meeting di Redmond ed è stata raccolta da un reporter PcWorld.
Quel che Microsoft spiega è una strategia non rivolta propriamente a nascondere la patch risolta, ma soltanto a celarla all’interno di un contenitore omologo. Dunque non vengono propriamente celate informazioni essenziali, ma vengono soltanto tenute all’oscuro poichè ininfluenti ai fini dell’aggiornamento. In pratica le vulnerabilità nascoste sono inserite all’interno di patch in cui convergono tre elementi:
- La tipologia del problema è simile alla tipologia descritta nel bollettino di sicurezza;
- La vulnerabilità colpisce il medesimo elemento, con medesimo workaround;
- La gravità del problema è esattamente quello dichiarato nel bollettino.
Se le tre condizioni sono concomitanti, la vulnerabilità viene celata per utilità, evitandone la pubblicazione pur in presenza dell’aggiornamento. La cosa conferma pertanto quanto scoperto dalla Core Security Technologies, i cui studi sulle patch MS10-024 e MS10-028 avevano evidenziato 3 aggiornamenti non dichiarati sul codice. Le caratteristiche dei tre update sembrano però confermare la bontà delle dichiarazioni attuali Microsoft secondo cui le uniche vulnerabilità non comunicate non hanno semplicemente motivo di essere rese pubbliche se non per scopi statistici e per la valutazione della sicurezza dei software.
Durante il meeting l’approfondimento sull’argomento ha evidenziato come i raffronti sulla sicurezza siano spesso basati su interpretazioni diverse tra i vari gruppi: Adobe, ad esempio, non assegna numerazione CVE alle vulnerabilità scoperte in proprio, considerando i relativi update come semplici miglioramenti del codice e non come vere e proprie “patch”.