Scintille infuocate quelle che corrono tra Google e Microsoft. Lo scontro si apre sull’ennesima vulnerabilità che sia stata scovata in Windows 8.1, rivelata da un ricercatore di Google. Qual’è il problema? Il fatto che questa falla sia stata divulgata prima che Microsoft implementasse le necessarie contromisure.
Alla Microsoft non sono bastati dunque i 90 giorni di tempo trascorsi dal giorno della segnalazione per eliminare il problema dal suo sistema operativo. In Windows 8,1 questo problema è stato riscontrato sia nella versione a 32 bit sia in quella a 64.
Nel blog di Google Security Research, dove è stata pubblicata la segnalazione, i commenti si concentrano sull’opportunità o meno di rendere pubblica una vulnerabilità di questo tipo prima che Microsoft abbia adottato le contromisure. Ed è proprio qui che scoppiano le polemiche, sull’opportunità o meno di pubblicare di pubblicare queste informazioni prima che si sia trovata una soluzione.
Come risposta la Microsoft ha preferito mantenere un profilo basso cercando di minimizzare il problema, sottolineando che per sfruttare quella vulnerabilità è comunque “necessario avere credenziali di accesso valide ed essere in grado di utilizzarle localmente sulla macchina interessata”.
Microsoft si è impegnata a risolvere la vulnerabilità. Ecco quanto si legge in una nota ufficiale della società di Redmond: “Stiamo lavorando a un aggiornamento di sicurezza che elimini il problema dell’escalation dei privilegi. Nel frattempo, invitiamo i nostri clienti a mantenere aggiornato il software antivirus, a installare tutti gli aggiornamenti di sicurezza disponibili e ad abilitare il firewall sul loro computer.”
Le polemiche hanno portato Google a rispondere anch’essa con una nota ufficiale: “Abbiamo segnalato il problema a Microsoft il 30 settembre. La policy di Project Zero che prevede che dopo 90 giorni la vulnerabilità venga resa pubblica è attiva sin dalla fondazione di questo gruppo ed è il risultato di approfondite valutazioni fatte in molti anni di esperienza nell’intero settore. Negli ultimi 13 anni, i ricercatori impegnati nella sicurezza hanno grosso modo adottato lo stesso metro. Pur ritenendo che, così come cambiano le minacce, debba evolvere anche la modalità con cui vengono rese note, al momento pensiamo che le linee guida adottate in Project Zero per la divulgazione delle vulnerabilità siano attualmente le migliori possibili per garantire la sicurezza degli utenti.”
Vincenzo Abate
