Windows 7, Microsoft lo difende dopo le “brutte figure” del Pwn2Own 2010

A diversi giorni dal suo epilogo, l’eco di quanto accaduto al Pwn2Own 2010 di Vancouver non smette di farsi sentire. Soprattutto dalle parti di Redmond, dove non è andato giù il fatto che due hacker siano riusciti a “bucare” Internet Explorer 8 e Firefox 3.6 bypassando i sistemi di protezione DEP ed ASLR di Windows 7.

A seguito dell’impresa di Peter Vreugdenhil, il ricercatore che ha scoperto due falle di sicurezza nel browser Microsoft mandando input casuali al programma (fuzzing) e oltrepassando le protezioni ASLR e DEP di Windows 7 (in versione 64-bit super-aggiornata), Microsoft ha infatti deciso di difendere pubblicamente il suo sistema operativo pubblicando un post sul blog Windows Team.


L’articolo, a firma del product manager della divisione sviluppo di IE Pete LePage, pone l’accento sul fatto che le tecniche di protezione defense-in-depth adottate in Seven non sono state disegnate per prevenire qualsiasi tipo di attacco in eterno, bensì per rendere molto più difficile l’individuazione di falle – che poi vengono corrette con apposite patch – e la realizzazione di relativi exploit.

Sistemi di protezione come il Data Execution Prevention, che impedisce l’iniezione di codice maligno nelle aree di memoria riservate ai dati, e l’Address Space Layout Randomization, che evita buffer overrun ed exploit caricando i programmi e le librerie in indirizzi di memoria casuali, fanno sapere da Microsoft, non servono a garantire una sorta di invulnerabilità al sistema o al browser, ma a ritardare e mitigare gli effetti negativi di eventuali minacce.

Difficile dargli torto. Però è impossibile non sottolineare come questa bella difesa d’ufficio del gruppo di Redmond vada a cozzare clamorosamente con le dichiarazioni di Vreugdenhil, il quale dice di aver portato a termine la sua missione senza troppi problemi e in meno di una settimana.

I dettagli su come sia avvenuto lo scavalcamento dei sistemi di protezione di Windows 7 non sono stati ancora resi noti, ma è comunque possibile trovare una relazione sull’operato del ricercatore olandese al Pwn2Own 2010 cliccando qui.

Ascoltate ben bene le due “campane” e fatevi un’idea su chi ha più ragione. Ammesso che qualcuno ce l’abbia.

[Via | Tom’s Hardware] [Photo Credits | techedlive su Flickr]