QR code per la pagina originale

Vulnerabilità Windows, Microsoft critica Google

Microsoft ha manifestato il suo disappunto verso Google. L'azienda di Mountain View ha divulgato i dettagli di un bug prima del rilascio della patch.

,

Microsoft ha criticato la decisione di Google di divulgare i dettagli di una vulnerabilità scoperta in Windows 8.1, due giorni prima della distribuzione di una patch. In un lungo post pubblicato sul blog dedicato alla sicurezza, l’azienda di Redmond ha spiegato che i ricercatori e le software house dovrebbero collaborare per trovare le soluzioni migliori contro eventuali attacchi informatici. Il comportamento di Google, invece, potrebbe comportare gravi rischi per gli utenti.

Google ha avviato l’iniziativa Project Zero per individuare le vulnerabilità nei software e segnalare il problema ai rispetti fornitori. L’azienda di Mountain View ha stabilito un tempo massimo di 90 giorni, superati i quali vengono divulgati i dettagli del bug e il codice del proof-of-concept. Google ritiene che 90 giorni sia un tempo ragionevole per sviluppare una patch e che la divulgazione delle informazioni possa servire agli utenti per chiedere alle software house una risposta più rapida. Secondo Microsoft, invece, questo approccio è sbagliato, in quanto la divulgazione dei dettagli prima della disponibilità di un fix rappresenta un grave pericolo per gli utenti.

Microsoft considera la filosofia CVD (Coordinated Vulnerability Disclosure) il miglior approccio per minimizzare i rischi. Le statistiche dimostrano che quasi nessuna vulnerabilità segnalata privatamente è stata sfruttata dai cybercriminali, mentre diversi attacchi sono stati effettuati quando la vulnerabilità è stata divulgata pubblicamente, prima del rilascio della patch. Ciò significa che la pubblicazione dei dettagli non è servita a nulla, perché molti utenti non hanno le competenze per proteggere il proprio computer.

Un altro aspetto critico è l’ammontare di tempo da ritenere ragionevole prima che venga comunicata l’esistenza di una vulnerabilità. Microsoft sostiene che l’obiettivo è proteggere i consumatori. Quindi i ricercatori di sicurezza che trovano un bug nei prodotti concorrenti non dovrebbero imporre una scadenza. La realizzazione di un patch è un lavoro piuttosto impegnativo che richiede indagini approfondite e tempi variabili, a seconda della complessità del software. La corretta strategia è quella di segnalare le vulnerabilità in privato e collaborare in modo proficuo.

Fonte: Microsoft • Notizie su: , ,