Office 2010, scoperte le prime due vulnerabilità e Microsoft s’inalbera

Andrea Guida (@naqern)

6 Lug 2010

Volete far arrabbiare Microsoft? Individuate una falla di sicurezza nei suoi prodotti e comunicatelo al mondo senza avvertire Ballmer e soci. Proprio come ha fatto Vupen Security, un’azienda abbastanza attiva nel campo della sicurezza informatica (130 le vulnerabilità scoperte nel solo 2010), che sul suo blog ha pubblicato la notizia relativa all’individuazione delle prime due falle di sicurezza in Office 2010 senza comunicare la cosa ai diretti interessati, che si sono – forse giustamente – risentiti.

Secondo quanto si apprende dal post della Vupen, i ricercatori sono riusciti a creare “un codice exploit che funziona su Office 2010, bypassando il DEP (Data Execution Prevention) e la funzione di validazione dei file di Office” sfruttando “un problema di corruzione della memoria che affigge Excel”.

I dettagli tecnici della vulnerabilità non sono stati ancora pubblicati né riferiti a Microsoft, ma gli esperti di Vupen Security assicurano: “è stata scoperta una seconda vulnerabilità in Office 2010 (questa volta in Word), e contiamo di scoprirne altre nei prossimi giorni”. Anche in questo caso, i dettagli tecnici li conoscono solo loro.

La reazione di Redmond a questo doppio colpo non si è fatta attendere e, come preannunciato, è stata abbastanza stizzita: “Siamo a conoscenza delle vulnerabilità ma non siamo in possesso dei dettagli tecnici per convalidarle – ha detto il group manager of response communications di Micoroft Jerry Bryant, che poi ha continuato – Per minimizzare il livello di rischio degli utenti, continuiamo a incoraggiare delle scoperte responsabili. Riportare i dettagli sulle vulnerabilità ai produttori dei software assicura agli utenti l’arrivo di aggiornamenti completi e di alta qualità prima che i malintenzionati possano sfruttare le falle individuate”.

Parole più che condivisibili, per noi. Per il CEO di Vupen Chaouki Bekrar, invece, “la ricerca e la scoperta di vulnerabilità è un processo molto lungo e un investimento per noi, per questo non riveleremo alcun dettaglio tecnico a Microsoft. Vedere il nostro nome nei crediti di un bollettino Microsoft come compenso per il nostro lavoro non è abbastanza”.

Morale della favola: o Microsoft sborsa il grano e acquista i dettagli tecnici sulle falle da Vupen o tutti noi, poveri utenti di Office 2010, dovremmo stare con una spada di Damocle sulla testa per delle vulnerabilità scoperte ma mai corrette.

Che schifo di favola!

[Via | eWeek]