Microsoft censura il nome di un hacker

Solitamente la dinamica relativa alla scoperta e alla relativa segnalazione di un bug su un software Microsoft da parte di un privato prevede che la società mentre pone rimedio rilasciando una patch pubblichi anche la notizia con i dovuti riferimenti a chi ha scoperto la vulnerabilità. È una questione di etica (componente importantissima nella cultura hacker) e di rispetto per chi offre il proprio lavoro e collabora per un software migliore.

Succede però che Microsoft non abbia volutamente pubblicato il nome di un hacker che aveva segnalato una vulnerabilità in Works. Nel rilasciare la patch e nel darne notizia la società di Redmond ha attribuito la scoperta al servizio iDefense VCP (Vulnerability Contributor Program) di VeriSign che ha ricevuto la segnalazione, poichè non aveva intenzione di mettere su un proprio sito il nickname dell’hacker, “Chujwamwdupe”, che in polacco è un’espressione che si riferisce ad una precisa pratica sessuale.

Nell’irregolarità Microsoft ha cercato di essere il più regolare possibile segnalando all’hacker che non avrebbe pubblicato il suo nome per non offendere il pubblico polacco. La reazione dell’hacker tuttavia non è stata conciliante. Chujwamwdupe sta seriamente meditando di pubblicare tutti i dettagli dell’exploit che consentirebbe a chiunque di entrare in possesso delle informazioni necessarie per trarre vantaggio da quella falla di Works per la quale Microsoft ha elaborato un rimedio che però ci metterà molto tempo a diffondersi.

La vulnerabilità risiede nel filtro di conversione dal formato WPS a quello RTF di Office 2003: si tratta di un errore nella gestione dello stack overflow per la funzione che legge il file WPS. Ad esempio se si cambia la dimensione di una sezione inserendo un numero più grande di 0x10, arriva lo stack overflow e lo si può sfruttare. Il bug può consentire al maleintenzionato di prendere il completo controllo del sistema.