Outlook, la falla da importante a critica

Nessuna falla critica? Come non detto. Solo ieri Microsoft aveva rilasciato tre nuovi bollettini di sicurezza> identificando come “importante” la più grave delle falle, ma a sole 24 ore di distanza il panorama è già variato: la falla segnalata dal bollettino MS04-009 (Security Update 828040) viene infatti portata ora a livello “critico“.

Il motivo di tale variazione postuma è la scoperta della labilità di un vincolo che limitava le possibilità di successo di un eventuale exploit. Nella fattispecie sembrava inizialmente possibile far eseguire codice da remoto alla macchina solo e solo se la cartella “Outlook Today” fosse la home page default in Outlook 2002. In seguito, grazie alla segnalazione del ricercatore Jouko Pynonnen, si è scoperto che tale condizione non pregiudica in alcun modo le possibilità di attacco e dunque il pericolo risulta essere ben più ampio rispetto a quanto inizialmente valutato.

Visti gli eventi, il responsabile della sicurezza Microsoft Stephen Toulouse si è visto costretto ad intervenire sottolineando come, pur cambiando il giudizio circa la pericolosità della falla, non cambia l’efficacia della patch rilasciata: installando quanto proposto da Microsoft il bug è completamente risolto e non si mette in alcun modo a rischio la sicurezza del terminale.

Il cambiamento del giudizio non è nuovo in casa Microsoft in quanto già nel Dicembre 2002 due precedenti siglarono un pasticcio di questo tipo. Certo è che in seguito alle numerose proteste circa i ritardi di Redmond nell’intervenire sulle falle, il dover cambiare il giudizio a sole 24 di distanza non può costituire nota di merito per l’azienda di Gates. A Redmond ci si difende sottolineando come la qualità delle patch sia un obiettivo aziendale fondamentale, tanto da prevalicare anche le esigenze dettate dalle tempistiche del rilascio.