E’ stata scoperta una nuova falla sui sistemi operativi XP e windows server 2003. Il problema è legato a vulnerabilità a cross site script (XSS) nella gestione degli URI (Uniform Resource Identifier) hcp:// (Windows Help e Support Center cioè Guida in linea e supporto tecnico, helpctr.exe).

A scoprirla ed a comunicare a Microsoft la scoperta il 5 giugno è stato ancora Tavis Ormandy, Security Engineer presso Google. Se vi ricordate è lo stesso che lo scorso gennaio pubblico la full discloser circa la vulnerabilità di una funzione legacy per le routine a 16-bit che colpiva il kernel NT della microsoft dal 1993 in poi.

La stessa Microsoft, che ha confermato la ricezione del report di Ormandy lo stesso giorno dell’invio dello stesso, ha confermato (il 10 giugno) la presenza della falla nella Security Advisor 2219745 (che non cita la fonte della scoperta, ndr).

Lo stesso giorno, Ormandy pubblica il full discloser con un proof-of-concept, un exploit funzionante e dei workaround temporanei.

Microsoft si è premurata a pubblicare questo MSRC post e questo SRD post.

Anche Microsoft Italia, per voce del suo responsabile dei programmi di sicurezza e privacy Feliciano Intini, riporta la notizia che chiosa faziosamente in “Poi lascio a voi commentare come si possa giudicare l’operato di Google al riguardo…“.

Credo occorra contestualizzare lo scenario. In primo luogo, Google (probabilmente per implicita promozione dell’imminente uscita di Chrome OS) ha dichiarato di rimuovere windows dai propri computer per problemi di sicurezza. Secondariamente, credo che quattro giorni di tempo (sebbene stiamo parlando di Microsoft e non di Pizza & Fichi Inc.) possano essere risicati per produrre una hotfix pubblica.

Detto questo, sono convinto che se Ormandy non avesse pubblicato un exploit funzionante la sua segnalazione sarebbe finita archiviata. Inoltre, proprio Microsoft ci ha abituati a ben altri tempi:

“Per mantenere il supporto legacy per le applicazioni 16-bit, dal 1993 tutti i sistemi Microsoft si portano dietro questa vulnerabilità.

La cosa interessante è che la stessa Microsoft, a detta dello scopritore della vulnerabilità, fu informata il 12 giugno 2009 la quale confermò la ricezione 10 giorni dopo.

Nessuna patch o workaround ufficiale. Un silenzio che ha portato l’autore alla pubblicazione della vulnerabilità.”

(estratto da Microsoft e sicurezza: ossimoro? su Il Taccuino e sul blog del Clusit).

Il clima tra i giganti non sembra essere dei migliori e forse 4 giorni sono pochi ma mesi se non anni di silenzio a cui ci hanno abituato sono troppi, secondo i miei parametri.

E’ importante sottolineare che il problema è di chi immette le falle, non di chi le segnala e le ha sempre segnalate responsabilmente al fine di raggiungere prima possibile ad una risoluzione.

Detto questo, forse, invece di soddisfatti ed improbabili proclami di parte, occorrerebbe una sana autocritica e prendere atto che servono prodotti con meno bug e rapidamente sanati.

Puntare il dito contro chi identifica i propri errori non sempre è costruttivo.