Cerca nel blog

2010/05/07

Microsoft patcha di soppiatto

Le patch segrete di Microsoft


I bollettini Microsoft per gli aggiornamenti di sicurezza MS10-024 e MS10-028, pubblicati ad aprile, descrivevano soltanto una vulnerabilità classificata "importante" o "media" ma non "critica". In realtà installava silenziosamente anche delle correzioni per due falle molto più gravi, decisamente critiche, che Microsoft non ha annunciato nonostante costituissero un rischio per molti utenti, secondo quanto rivelato da un articolo della società di sicurezza informatica Core Security.

Le falle in Microsoft Exchange e nei servizi SMTP rendevano molto semplice falsificare (fare spoofing) le risposte alle query DNS; un problema non da poco, sfruttabile per vari attacchi informatici. Soprattutto, lamenta la Core Security, il fatto di non annunciare la correzione ha impedito ai responsabili della sicurezza informatica delle aziende di conoscere la vera importanza della patch di Microsoft e quindi valutarne e pianificarne opportunamente l'introduzione. Nel bollettino c'era solo un accenno annidato nelle FAQ.

Microsoft ha risposto (per esempio a The Register) con una frase molto diplomatica e Core Security ha a sua volta ribattuto: se volete immergervi nei dettagli tecnici, li trovate su Breaking Code, che spiega anche quanto sia diffusa questa prassi di affidare agli utenti aggiornamenti che correggono vulnerabilità senza annunciarlo. Oggi, per fortuna, queste correzioni infilate di soppiatto sono smascherabili dagli esperti: se volete sapere come si fa, cercate le parole binary diffing.

Nessun commento: