Scheletri nell’armadio del Patch day?

SicurezzaSoluzioni per la sicurezza

Microsoft avrebbe ammesso un bug fix non pubblicizzato nell’ultimo update di
sicurezza

Un blog di ZDnet denuncia una pratica svolta da Microsoft di nascosto, nel rilascio dei bollettini di sicurezza per i patch day mensili. Secondo Ryan Naraine Microsoft avrebbe ammesso un bug fix non pubblicizzato e passato sotto silenzio, per ridurre il numero delle patch pubbliche e documentate. Microsoft cioè risolverebbe vulnerabilità note e rese pubbliche, ma in aggiunta negli update di sicurezza sanerebbe anche bug sottaciuti e non pubblicizzati. Per quelle aziende di sicurezza che tengono il conto dei bug, per stilare classifiche di sicurezza (il browser o il sistema operativo più sicuro eccetera), questa pratica risulterebbe disorientante e distorcerebbe i risultati finali. Microsoft giustifica la sua ritrosia a parlare di vulnerabilità, come uno scudo per i propri utenti: troppi dettagli possono indurre gli hacker in tentazione. Tuttavia i cracker male intenzionati sono abili a effettuare reverse-engineering delle patch rilasciate da Microsoft, per scoprire anche i bug silenziosi. D’altra parte gli esperti di sicurezza It delle aziende, leggendo un bollettino, a volte lo scartano, non considerandolo importante: ma così si perdono anche i bug fix delle falle nascoste e non rese pubbliche. Insomma troppi scheletri nell’armadio del Patch day non farebbero bene alla sicurezza e non difendono contro gli exploit malevoli.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore