Ancora non si fermano le polemiche sulle vulnerabilità di IE, sul ruolo che sembra aver ricoperto nel braccio di ferro Google Vs Cina.
Dapprima era confermata solo per IE6, poi è stato reso noto un Proof of Concept per IE7 tanto da spingere Microsoft ad ipotizzare un rilascio straordinario (out of band).
Mentre in Italia fonti ufficiali (SPC CERT) e auterevoli confermano che al momento IE8 è immune da questa vulnerabilità, Francia (CERTA) e Germania (BSI) consigliano di utilizzare un browser alternativo.
A questo scenario già abbastanza confuso e critico, si aggiunge il full disclosure di Tavis Ormandy, security engineer presso Google.
Per mantenere il supporto legacy per le applicazioni 16-bit, dal 1993 tutti i sistemi Microsoft si portano dietro questa vulnerabilità.
La cosa interessante è che la stessa Microsoft, a detta dello scopritore della vulnerabilità, fu informata il 12 giugno 2009 la quale confermò la ricezione 10 giorni dopo.
Nessuna patch o workaround ufficiale. Un silenzio che ha portato l’autore alla pubblicazione della vulnerabilità.
Curioso tempismo o meno resta un momentaccio per gli utenti microsoft.
_____
Clusit
5 thoughts on “Microsoft e sicurezza: ossimoro?”