Bug in Windows, scherzetto di Google a Microsoft

Google ha divulgato i dettagli di una grave vulnerabilità presente in Windows, ma Microsoft non ha avuto il tempo per sviluppare e distribuire la patch.
Google ha divulgato i dettagli di una grave vulnerabilità presente in Windows, ma Microsoft non ha avuto il tempo per sviluppare e distribuire la patch.
Bug in Windows, scherzetto di Google a Microsoft

Il 31 ottobre si celebra Halloween, la festa di origine celtica diventata popolare anche in Italia. Google ha quindi sfruttato l’occasione per pubblicare i dettagli di una grave vulnerabilità zero-day presente in Windows. Microsoft ha ovviamente espresso il suo disappunto perché non ha avuto il tempo di sviluppare una patch, ma l’azienda di Mountain View ritiene che lo “scherzetto” è lecito, in quanto rispetta la timeline per la divulgazione in vigore da oltre tre anni.

La vulnerabilità, scoperta dal Google Threat Analysis Group in Flash Player e nel kernel di Windows, è stata segnalata alle due aziende il 21 ottobre. Adobe ha rilasciato il 26 ottobre una nuova versione del plugin (23.0.0.205) che risolve il bug. Come è noto, Chrome viene aggiornato automaticamente, per cui gli utenti non devono scaricare il plugin dal sito Adobe. Invece la falla individuata nel kernel di Windows non è stata ancora corretta. Il rischio di diventare un bersaglio di eventuali attacchi è abbastanza alto, dato che l’exploit è già in circolazione su Internet.

La vulnerabilità in win32k.sys può essere sfruttata per ottenere privilegi di amministratore, eludere la protezione della sandbox e guadagnare il controllo totale del sistema operativo. Chrome blocca le chiamate al file win32k.sys, utilizzando la tecnica Win32k lockdown su Windows 10, ma Windows 8.1 e Windows 7 non sono protetti. Il problema rimane se l’utente usa un altro browser.

Google sostiene che sette giorni siano sufficienti per sviluppare un fix o comunque per pubblicare un avviso di sicurezza con le possibili soluzioni temporanee. Molte software house ritengono invece che non è possibile scrivere, testare e distribuire una patch in una settimana, soprattutto se il software è molto complesso, come un sistema operativo. Microsoft ha dichiarato che Google ha messo in pericolo gli utenti e che il fix verrà rilasciato al più presto. Nel frattempo, l’azienda di Redmond consiglia di utilizzare Windows 10 e Microsoft Edge per una maggiore protezione.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Ti consigliamo anche

Link copiato negli appunti