Tutti i prezzi sono validi al momento della pubblicazione. Se fai click o acquisti qualcosa, potremmo ricevere un compenso.

Google Project Zero pubblica un bug di Windows 8.1. Microsoft risponde

03 Gennaio 2015 917

Il 29 dicembre scorso sono scaduti i 90 giorni di tempo "concesso" a Microsoft per la correzione di un bug a Windows 8.1 che permette di ottenere privilegi admin ad utenti che non dovrebbero esserlo. Nulla di veramente insolito, fino a qui.

Il problema è che il merito della scoperta del bug va a Project Zero, il team di sviluppatori e informatici gestito da Google e incaricato proprio di scovare vulnerabilità software. Chi segue le notizie del settore si ricorderà del suo lancio di metà luglio 2014. La scadenza dei 90 giorni ha "permesso" all'azienda di rendere noto il bug e di pubblicare un exploit ad-hoc, ovvero il codice capace di sfruttarlo. E questo, ovviamente, non è piaciuto a Microsoft.


È uscito tutto a ridosso di fine anno, nel bel mezzo delle festività, ed è per questo che se ne parla solo adesso. Da una parte abbiamo Microsoft che cerca di minimizzare ricordando (giustamente) come non sia poi così semplice mettere in piedi l'exploit (bisogna comunque avere un account valido per fare la scalata verso l'admin). La risposta ufficiale:

We are working to release a security update to address an Elevation of Privilege issue. It is important to note that for a would-be attacker to potentially exploit a system, they would first need to have valid logon credentials and be able to log on locally to a targeted machine. We encourage customers to keep their anti-virus software up to date, install all available Security Updates and enable the firewall on their computer.

Dall'altra c'è Google che ricorda come questi meccanismi siano automatici, come sia stato dato a Microsoft lo stesso timeframe di altre aziende (pare che la comunicazione ufficiale sia stata fatta il 30 settembre 2014) e come proprio altri siano riusciti a correggere le proprie "falle" nei 90 giorni stabiliti bloccando così la pubblicazione delle stesse. L'ultimo aggiornamento dice questo:

There was some confusion yesterday about whether we had contacted Msft about this issue, so we posted an update (below).

Firstly, just to make this absolutely clear, the ahcache.sys/NtApphelpCacheControl issue was reported to Microsoft on September 30. You can see this in the "Reported" label on the left hand panel of this bug. This initial report also included the 90-day disclosure deadline statement that you can see above, which in this instance has passed.

Project Zero's disclosure deadline policy has been in place since the formation of our team earlier in 2014. It's the result of many years of careful consideration and industry-wide discussions about vulnerability remediation. Security researchers have been using roughly the same disclosure principles for the past 13 years (since the introduction of "Responsible Disclosure" in 2001), and we think that our disclosure principles need to evolve with the changing infosec ecosystem. In other words, as threats change, so should our disclosure policy.

On balance, Project Zero believes that disclosure deadlines are currently the optimal approach for user security - it allows software vendors a fair and reasonable length of time to exercise their vulnerability management process, while also respecting the rights of users to learn and understand the risks they face. By removing the ability of a vendor to withhold the details of security issues indefinitely, we give users the opportunity to react to vulnerabilities in a timely manner, and to exercise their power as a customer to request an expedited vendor response.

With that said, we're going to be monitoring the affects of this policy very closely - we want our decisions here to be data driven, and we're constantly seeking improvements that will benefit user security. We're happy to say that initial results have shown that the majority of the bugs that we have reported under the disclosure deadline get fixed under deadline, which is a testament to the hard work of the vendors.

Probabilmente Microsoft rilascerà una patch nel prossimo ciclo di update e magari garantirà maggiore priorità alla notifiche di Project Zero. Ma in fondo è difficile fare della grande distribuzione di Windows, della necessità di fare patch per sistemi 32-bit e 64-bit, una colpa per MSFT. Sarebbe stato difficile per l'azienda pubblicare un bugfix fuori dal ciclo di aggiornamenti e sarebbe stato forse anche superfluo viste le difficoltà nello sfruttare il bug. Non c'è un vincitore e non c'è uno sconfitto, ma di certo Google ha di che gongolarsi.


917

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Riccardo P

C'è un seguito: https://windows.hdblog.it/2015/...

comatrix

Certo che puoi, te lo assembli.
Ma è troppo difficile da concepire come concetto forse (si si, si possono assemblare anche i portatili)

MARIOZ®

comunque devo ancora trovare un pc performante e bello come il macbook pro retina 15...quando lo troverò lascerò la melinda

comatrix

Se per te sono caxxate sei perfino peggio di quel che pensavo, allora gli utonti Apple sono messi meglio di te, almeno loro lo ammettono

MARIOZ®

sovrapprezzati bla bla bla sempre le solite parole... utonti che prendono ad occhi chiusi perché è Apple bla bla bla utonti che guardano la mela e vedono Gesoo bla bla bla...tutte caxxate sempre le solite cose

comatrix

Chi ha mai detto che vanno male?
Ecco un ulteriore conferma di ciò che stavo dicendo, proprio utonti ma tanto davvero

MARIOZ®

bla bla bla utonti...bla bla bla solo parole...nei fatti i prodotti apple vanno benissimo...a parte gli iphone del terzo anno che apple vuole uccidere per far cambiare telefono

comatrix

Ed io te lo ripeto:

- Ma mi faccia il Piacere!!!!

Tu non sei sul gradino più alto, credi di esserlo, il che è differente.
Ma sai, conosco già gli utonti Apple come agiscono, e non ne son stupito, però questa ne è la conferma, che sono proprio utonti, tanto e tanti utonti ^_^

MARIOZ®

quale pulpito... dal gradino più alto del podio...te lo devo ripetere? XD

comatrix

Da che pulpito! Appena tocchi Apple si scatena l'inferno da parte dei suoi utonti ^^

Qubit

Vabbé dopo questo commento che vuoi che ti dica? Mi stai facendo perdere tempo, Se non hai nemmeno un PC Windows che cavolo ti ringrazi? Lascia parlare chi ha un PC windows e vuole esporre le sue perplessità poiché é lui a pagarle...

MARIOZ®

Menatevi non sapete fare altro

comatrix

E qui ci sta tutta

MARIOZ®

Stiamo sul gradino più alto del podio XD

Gio

"Non penso stia vendendo bene quel robot, visto anche che coreana c'è in 2 nazioni..." O_O

"Sulla Xbox costa abbastanza per giocarci mentre la prima android TV costa 100€ (ed è un set io box per TV non una console gaming)" O_O

tu stai male, fatti curare...

Rick Deckard

Non penso stia vendendo bene quel robot, visto anche che coreana c'è in 2 nazioni...
Sulla Xbox costa abbastanza per giocarci mentre la prima android TV costa 100€ (ed è un set io box per TV non una console gaming)

Gio

mi stupisce che un troll come te non si sia documentato, visto che ha fatto ottime vendite e se lo ricordano in molti...altro che infelice, qui l'unico infelice sei te.
poi se permetti xbox è anche una console che con meno di 400 euro kinect incluso, cioè roba che un coso android sta a circa 300 senza controllo vocale, se lo mangia visto cosa puoi farci...tra controllo vocale e altro...ma tu non sai manco di che parli caro inutile troll, la cosa simpatica è che chi sa le cose ti prende per il cul0 ogni volta che ti legge.
è meglio di tantissima roba per supporto e varietà di cosa che puoi fare.
ma cosa vuoi integrare nel tuo sistema video? ma se non sai manco cosa è...vai a montare lampadine pezzente di un troll.

Rick Deckard

Guarda considero scemo&+scemo il peggior fiml di Jim Carrey e se vai a vedere i film che ha fatto prima di ace ventura sono per lo più penosi...

Antonioerre

CONFONDI TELEMETRIA CON BUSINESS MODEL.
Non vi entra in zucca, inutile fare tanti discorsi. Per quelli come te Microsoft è il male assieme alla cia e all'nsa e a tutto l'armamentario ideologico da informatica del secolo scorso, nel frattempo però vi fate f0ttere malamente da Google che "controlla", cataloga e VENDE qualsiasi cosa sia collegata al web. Contenti voi...
Buona navigazione. ;)

ILCONDOTTIERO

Guardati il film scemo+scemo 2 vedo un futuro x te al cinema Nemmeno le battute fi sarcasmo sai capire XD

Rick Deckard

Spionaggio industriale.. Non vorrei dire ma è un bug abbastanza sfruttabile e che può causare danni economici gravi..

Rick Deckard

Chiunque si sia rotto di dover sempre sistemare windows

Rick Deckard

Sai.. Copiando il software qualcosa avranno trovato

Rick Deckard

Se li trova..

Mariano Mercuri

facile, le milf piacciono a tutti...

ER-MUMMIA

VIENI QUI TI FACCIO ASSAGGIARE IL MUMMIOTTO

Archimede Supersonico

Mi ricordo l'exploit per scalare i privilegi su XP. Un semplicissimo file cmd che iniettava del codice in memoria e ti permetteva di passare da utente limitato a un amministratore. Poi, quando sono usciti Vista e 7 ecco spuntare il bellissimo Kon-Boot, un live cd capace di bypassare qualsiasi password.
Con Windows 8, però, le cose sono diverse anche per via dei nuovi chip delle schede madri. Non saprei se supporta bene l' EFI.
Cmq, ricordo che appropriati 'lavoretti' con Metaspoit e le giuste porte aperte nonchè le tipiche vulnerabilità dei software e plugin (zero day exploit si trovano in rete) già rendono il sistema penetrabile.
Microsoft minimizza, ma è gia tanto se Google ha trovato un modo per violare il sistema.

Apocalysse

"Aggiornamenti automatici utilizzerà le informazioni sulla configurazione del computer* per stabilire l'eventuale presenza di aggiornamenti. Anche se l'indirizzo IP utilizzato per accedere a Internet viene inviato a Microsoft, non verrà utilizzato per identificare o contattare gli utenti."

*Nota: Configurazione del computer comprende i programmi installati oltre che la configurazione HW del sistema e SW relativa si soli prodotti M$. In pratica sono tutti i dati completi del sistema.

stambeccuccio

884 commenti !!! LOL .. si vede che le feste sono finite. :D

Rick Deckard

Guarda voglio proprio vedere quanti indosserebbero quel coso.. I sensori li ha tutti ma di per se è proprio riuscito male visto anche l'infelice costo di lancio (mi stupisce addirittura che qualcuno se lo ricordi)..
Poi se permetti di un centro multimediale come Xbox ce ne sono tantissimi a prezzi ridotti e non offre l'esperienza utente della concorrenza per uso con tablet/spartphone/vocale..
È meglio di niente.. Ma non un dispositivo che vorrei integrare nel mio sistema video..

Gio

caro il mio troll che non sai neanche di cosa parli ma sparli come al solito...la console multimediale non ha necessità di un abbonamento per accendersi e funzionare come centro multimediale, lo so che per te è difficile da comprendere...ma è così!
si l'orologio che si legge al contrario per un motivo, che ovviamente tu non conosci perchè neanche sai di cosa si parla, è un ottimo prodotto...per fnzioni e per sensori.
siamo seri....smettila di postare cose a caso per trollare...sei diventato patetico, sopratutto quando parli di imitazioni di cose affermate, imitazioni di cosa troll? di un os? di una console? l'unica cosa indietro qui è il tuo livello intellettivo e la cosa bella è che lo hanno capito tutti...io ad esempio uso i tuoi post per far ridere le persone che conosco, gente che usa solo osx/ios, solo android o solo windows o solo ps4...e ridono che non hai idea delle tue assurdità...continua ti prego cecchè, continua !

Rick Deckard

Con ottimo indossabile ti riferisci all'orologio che va portato al contrario???
Normale che per un centro multimediale si debba prendere una console gaming e pagare un abbonamento?
Dai siamo seri... Tutte imitazioni di prodotti già affermati... È indietro proprio nel pensare i dispositivi

Gio

Dove è la rivoluzione di ms? oltre l'unificazione dell'os con win10? beh che fanno un ottimo os desktop, un buonissimo os mobile, un validissimo indossabile e una console che è un centro multimdiale ottima....però capisco che un povero troll come te, frustrato nella vita reale non comprenda tutto ciò.

Leonardo

A me sta bene che informino Microsoft sui bug presenti nei software di proprietà, soprattutto se sono gravi falle in grado di compromettere la sicurezza stessa del sistema, ma non tollero che fornisca istruzioni per sfruttare le suddette vulnerabilità! In questo caso la procedura è abbastanza macchinosa e magari poco utile visto cosa necessita, ma se fosse stata una procedura fattibile da remoto e in grado di accedere ai miei dati personali, perdonami ma mi incazzerei se qualcuno desse istruzioni su come farla!

Rick Deckard

Forse sei tu che non vuoi capire che fanno solo i soliti PC, un pessimo OS per telefoni, un indossabile orrendo, una console giochi e basta.. Dov'è la rivoluzione?

Gio

si vabbè, niente non ce la fai a capire quello che tu stesso scrivi...poi l'ultima cosa su ms statica su pc è la cilegina, sei veramente penoso.

Antonioerre

No infatti. Secondo me comunque l'ID più sicuro é la scansione della retina come in Star Trek II l'ira di Khan. ;)

Rick Deckard

Ma mica paghi l'abbonamento con android (c'è una prima scatoletta ed è preinstallato su alcuni marchi) o Apple tv... C'è chromecast che fa un ottimo lavoro ecc.. Microsoft rimane statica sul PC

RobyMax1

....urka....me l'ero persa!
comunque, per il momento non ci sono grossi problemi per noi "pesci piccoli"...

StefanoValota

ATTENZIONE! vorrei ricordare che WIKI è UNA PIATTAFORMA DI CONSULTAZIONE ( quindi hai in una pagina il sunto di un argomento che richiede interi libri per essere appreso ) NON UNA BIBBIA!

Drak69

Quelli di google sanno che il mio pugno vale piu di un bugfix per risolvere questo problema? xD

Gio

hai fatto bene a segnalare rick deckard, ma tanto non serve a niente...

misterblonde

segnalato

Antonioerre

"In un caso i dati raccolti sono ENTRO I PROPRI SERVIZI/SOFTWARE e BASTA (Microsoft, Apple, Adobe, Corel, Autocad) per telemetria sul loro funzionamento e sulla sistemazione di tale funzionamento, nell'altro caso sono dati raccolti OVUNQUE (più che altro accessi WEB) anche per servizi, cose, software, social, applicazioni, abitudini ESTERNI ai servizi erogati (Google, Facebook in modo minore)."

Se non ti è chiara qualche parola, dimmi pure, aggiungo la traduzione in microsofthaterese. ;)

Apocalysse

Non mi sembra affatto.

Rick Deckard

Significa che per sistemi TV non offre praticamente nulla di dedicato...

Heisenberg

Io non uso Android per fortuna

Alessio Marzella

Non ho detto che valga zero, ho detto che se Windows ha un costo di licenza e android no un motivo co sarà, non vuol dire che valga zero ma forse potrebbe venire in mente che sono due cose diverse con compiti e potenzialità ben differenti, penso che ne converrai con me no?

Alessio Marzella

Me lo chiedo anche io ma a quanto pare qui si paragonava il costo di licenza di Windows con la gratuità di android... Chiedilo a chi ha scritto il commento a cui ho risposto cosa centra

Alessio Marzella

Indicami dove avrei parlato di potenza scusami

Microsoft crede ancora in Office: in arrivo nel 2024 per aziende e privati

Recensione Asus Zenbook 14 OLED, ecco come va con il nuovo Intel Core Ultra 7

Abbiamo rifatto la nostra workstation, ora è tutta ASUS ProArt!

Acer Predator, nuovi laptop in arrivo. C'è anche un monopattino! |VIDEO