Volete far arrabbiare Microsoft? Individuate una falla di sicurezza nei suoi prodotti e comunicatelo al mondo senza avvertire Ballmer e soci. Proprio come ha fatto Vupen Security, un’azienda abbastanza attiva nel campo della sicurezza informatica (130 le vulnerabilità scoperte nel solo 2010), che sul suo blog ha pubblicato la notizia relativa all’individuazione delle prime due falle di sicurezza in Office 2010 senza comunicare la cosa ai diretti interessati, che si sono – forse giustamente – risentiti.
Secondo quanto si apprende dal post della Vupen, i ricercatori sono riusciti a creare “un codice exploit che funziona su Office 2010, bypassando il DEP (Data Execution Prevention) e la funzione di validazione dei file di Office” sfruttando “un problema di corruzione della memoria che affigge Excel”.
I dettagli tecnici della vulnerabilità non sono stati ancora pubblicati né riferiti a Microsoft, ma gli esperti di Vupen Security assicurano: “è stata scoperta una seconda vulnerabilità in Office 2010 (questa volta in Word), e contiamo di scoprirne altre nei prossimi giorni”. Anche in questo caso, i dettagli tecnici li conoscono solo loro.
La reazione di Redmond a questo doppio colpo non si è fatta attendere e, come preannunciato, è stata abbastanza stizzita: “Siamo a conoscenza delle vulnerabilità ma non siamo in possesso dei dettagli tecnici per convalidarle – ha detto il group manager of response communications di Micoroft Jerry Bryant, che poi ha continuato – Per minimizzare il livello di rischio degli utenti, continuiamo a incoraggiare delle scoperte responsabili. Riportare i dettagli sulle vulnerabilità ai produttori dei software assicura agli utenti l’arrivo di aggiornamenti completi e di alta qualità prima che i malintenzionati possano sfruttare le falle individuate”.
Parole più che condivisibili, per noi. Per il CEO di Vupen Chaouki Bekrar, invece, “la ricerca e la scoperta di vulnerabilità è un processo molto lungo e un investimento per noi, per questo non riveleremo alcun dettaglio tecnico a Microsoft. Vedere il nostro nome nei crediti di un bollettino Microsoft come compenso per il nostro lavoro non è abbastanza”.
Morale della favola: o Microsoft sborsa il grano e acquista i dettagli tecnici sulle falle da Vupen o tutti noi, poveri utenti di Office 2010, dovremmo stare con una spada di Damocle sulla testa per delle vulnerabilità scoperte ma mai corrette.
Che schifo di favola!
[Via | eWeek]
#1E-cology Italia
Onestamente, stavolta condivido il pensiero di Ballmer & Co.
#2geekissimo2
dico all'autore di questo articolo, sei contento?
#3N1k
rispondo io per lui non per difenderlo ma per dire la mia, SI
perchè la sicurezza è un fattore fondamentale
cè gente che preferisce tacere senza lasciare dichiarazioni,
lasciare marcire threats sui propri sistemi per anni senza porre rimedio
o mettere in commercio roba piena di problemi e bucati come un gruviera,
mentre altri che sul fattore sicurezza si impegnano,
cercano di innovarlo con nuovi sistemi, cercano di migliorare
questi sistemi giornalmente e magari si incacchiano pure
quando cè gente che si accorge di qualche problema
e invece di parlare tacciono per fare la figura dei bellimbusti,
un articolo che dopo tanto tempo finalmente tratta temi tecnologici
degni di questo nome, che coinvolgono tutti gli user
di tutte le fasce e che con obiettività si occupa
di un qualcosa che è nell'interesse di tutti
perciò ad essere soddisfatti dovremmo essere tutti,
non solo l'autore.
Ciao
#4N1k
perfettamente d'accordo con l'articolo, nulla è perfetto e lo sappiamo,
alla fine anche a costo di sudore e fatica si troveranno falle in qualsiasi cosa
ma invece di lavorare a fronte comune per la protezione degli utenti,
così come si è sempre fatto e microsoft si è sempre impegnata a fare,
la gente si preoccupa più di dover dimostrare ed ostentare
superiorità nei suoi confronti, e per cosa? la propria "soddisfazione"
e non quella dell'user finale?
alla fine le falle verranno rilevate, scoperte e risolte,
quindi non ci vedo alcun vantaggio se non quello della mediaticità odierna,
(dalla descrizione del primo problema mi sembra similare
all'exploit del pwn2own su explorer quindi è solo questione di tempo),
ma per ora loro cercano di fare la figura dei "nonsochè"
mentre gli utenti non possono essere protetti al 100%;
anche se il pericolo mi pare comunque sopravvalutato dato che non
credo sia cosa semplice da realizzare, come lo è stato per ie8 e w7
che hanno richiesto un vero e proprio "capoccione" dietro
con anni d'esperienza e una settimana di tempo
da perdere(e che in molti passaggi ha ammesso
di essere stato fortunato nell' "indovinare" determinati indirizzi),
figuriamoci se uno dovrebbe mettersi a fare
caso per caso un attacco del genere per ogni user
dato che bypassa il dep ma non l'aslr che rigenera
gli indirizzi di allocamento ad ogni esecuzione;
sta di fatto che il punto non è questo ma la mancanza di volontà
dal mondo informatico di guardare alla sicurezza di ognuno di noi
su cui però facilmente creano clamori e discussioni
il che è davvero puerile…
Buona Giornata
#5Diego
Sono d'accordo con Vulpen: Microsoft fa software closed source e poi vuole contributi da freesoftware per rattoppare falle?
Che paghi chi individua le falle!
#6N1k
il contributo non è da parte del freesoftware ma da parte di gente
di tecnologia,la scoperta l'avrebbe potuta fare anche mecaffe
e il discorso sarebbe stato uguale, microsoft può anche fargli l'applauso per aver
trovato la falla e togliersi il cappello ma dopo la superiorità
in termine etico la dimostra chi non solo ti fa capire
dove hai sbagliato, ma anche come porci rimedio per il bene comune
non solo di microsoft o proprio, non stiamo parlando di potenziare
un sistema, di renderlo migliore di altri sul piano funzionale
parliamo di semplice sicurezza che dovrebbe essere
in cima al sommario di chiunque si avvicini alla tecnologia.
A questo punto perchè fare antivirus e antispyware free?
il lavoro di chi lo fa a che serve? devono darsi all'ippica?
dobbiamo applicare tutti il pensiero:
non sei capace di proteggerti al 100% da solo?
arrangiati, io il mio lavoro lo faccio solo per chi piace a me,
non per collaborare con te sul piano della sicurezza,
o per offrire un servizio all'utenza mondiale,
(peccato che tantissime compagnie come avira
su questo invece marciano e ne hanno benefici non indifferenti
e non di certo grazie a microsoft)
gli "amici" sputano sulla pubblicità, ma di mio
essere pubblicizzato su un sistema presente
sul 90% dei sistemi mondiale non mi pare di certo
offerta da rifiutare ma da cogliere al volo
per non rimanere nell'anonimato totale
anzi raccattandoti anche qualche parere negativo
per il bel figurone che fai dimostrandoti
di essere l'ennesima compagnia che pur di non collaborare
e avere l'esclusiva su qualcosa che alla fine microsoft
risolverà comunque fa la voce grossa per ottenere poco quanto nulla,
contenti loro, scontenti gli user.
Ciao
#7Silver D
Se poi ti trovi tutto sputtanato perchè hanno sfruttato quelle falle che Microsoft non ha potuto rattoppare a causa della presuzione di chi le ha scoperte, contento te 🙂
#8R4MP4G3
Sei un pazzo. Se scopri una falla, un tuo comportamento RESPONSABILE è di comunicarla ai produttori di software. poco importa se è open o closed source, è un DOVERE. Ci pensi che per quattro mentecatti, che sono pronti a vendere i dettagli al primo acquirente, si potrebbe rischiare seriamente? Se vendessero i dettagli ad un criminale? Ma state scherzando vero? Non puoi far rischiare milioni di persone, solo perchè vuoi la mazzetta. Questo è un comportamento criminale tanto quanto quelli che creano exploit per le falle.
#9kurojishi
esattamente come dice Diego, se vuoi il supporto della comunità e fai software chiuso ti arrangi, non puoi avere la botte piena e la moglie ubriaca
#10kurojishi
daccordo con Diego e Vulpen, fai software chiuso e vuoi il supporto gratuito ai tuoi sistemi?
bè ti arrangi, non si può avere la botte piena e la moglie ubriaca
#11N1k
Vedi Diego.
#12Lev
OpenOffice non va bene scusa? 😀
#13N1k
http://metabib2.isti.cnr.it/index.php?option=com_…
non direi…
#14Lorenzo
Proprio NO
#15Alessandro Mario Esposito
per me, fanno benone quelli della Vupen Security..
#16emanuele
concordo con Diego
#17satana
passate a linux (gratuito) e in più risparmiate 400 euro di suite d'ufficio scaricando openoffice che è praticamente identico
#18Davide Marchese Ragona
XD Se ci lavorassi col pc non diresti così
#19nessuno
Linux e solo per i programatori e open office fa schifo non convodiamo gli stracci con la seta
#20Domi
Se parliamo di _sicurezza_, il confronto tra OpenOffice e MS Office proprio non esiste (nettamente a favore del primo: 12 vulnerabilità contro 144):
http://secunia.com/advisories/product/20130/
http://secunia.com/advisories/product/13228/
Poi per il discorso dei soldi, mi sembra giusto che MS debba pagare visto che guadagna miliardi di dollari con le applicazioni che vende. E’ quando accade il contrario che mi è sempre sembrato una distorsione del mercato.
Cosa pretende, che altre aziende si facciano il mazzo per trovare le loro magagne investendo tempo e denaro e che poi gli cedano tutto il lavoro per avere in cambio un semplice “grazie” in nome della sicurezza degli utenti? Tra l’altro proprio la sicurezza che non è mai stata messa a repentaglio da nessun’altra azienda quanto la MS nel corso degli anni con tutte o quasi le sue applicazioni.
Gli affari sono affari, e questo nessuno meglio di MS lo sa, non capisco dove sia il problema. Che cacci quei quattro spicci che sarà più o meno quello che spende Balmer per un pranzo (o forse per uno spuntino visto il tipo), non sarà certo questo a far calare il capitale di MS, gli azionisti possono stare tranquilli.
#21Andrea
ci sono aziende pagate per scoprire i problemi dei software..
se li trovano li comunicano agli sviluppatori.
se uno trova un baco in qualunque cosa… anche nel software open.. lo dice o lo sfrutta a suo piacimento?