Giù le mani dai miei bug!
![[img]](/mediamytech/006010001959.jpg)
Microsoft ammette l’esistenza di due vulnerabilità. Ma non voleva che Secunia lo rivelasse» Sicurezza in primo piano
Meglio proteggersi Quest’ultimo prevede che chi scopre il bug ne dia notizia al vendor, che provvede a verificare la fondatezza delle informazioni ed - eventualmente - a correggere l’errore, e non riveli la propria scoperta se non dopo un tempo predeterminato, o quanto il produttore abbia rilasciato gli opportuni rimedi (che contengono in genere i “credits” allo scopritore del bug stesso). La posizione di Secunia è chiara: “L’informazione su cui si basa il bollettino proviene da una terza parte, ove non menzionato altrimenti”. Si tratta della nota alla fine di ogni bollettino, e serve a rimarcare che l’azienda si occupa di catalogare e rilasciare alert.
Ma il dilemma si pone lo stesso: meglio una politica tesa a calmierare il rilascio delle patch, lasciando gli utenti vulnerabili a bug noti a pochi o a nessuno, o una disclosure aggressiva per pungolare all’azione il vendor? In quest’ultimo caso il rischio è quello di avere patch di cattiva qualità o - peggio - i cosiddetti zero days exploit: codice che provoca la vulnerabilità prima ancora che essa sia stata corretta.
Ma la recente storia insegna che spesso Microsoft (così come altri vendor di software commerciale) si sia addormentata in tema di rilascio patch, nascondendosi dietro la necessità di testare il codice correttivo su ogni piattaforma supportata: una posizione che fa a pugni con le risorse - economiche, elaborative e umane - dell’azienda di Redmond e dalla quale sono scaturite in passato molte patch ritardatarie. Troppe per non pensare che la responsible disclosure possa essere in molte circostanze un comodo paravento.
Ancora nessun commento.