Con tutti i problemi di sicurezza messi allo scoperto il mese scorso, si potrebbe pensare che Microsoft voglia rifiutare qualsiasi sforzo da parte di ricercatori indipendenti, che sottolineano problemi software unpatched. Vi è sempre stato un tacito accordo nel passato e i BUG venivano segnalati in silenzio a Microsoft che procedeva poi a fornire una soluzione, in tempi più o meno brevi. Il tempo è finito, Microsoft deve “rimboccarsi” le maniche e darsi da fare poichè è iniziata una nuova era, quella delle segnalazioni pubbliche .

E’ PC World a segnalare un nuovo problema che getta nuovamente Benzina sul Fuoco, ricordiamo a tal proposito l’articolo “Googler rilascia 0 Day senza dare tempo a Microsoft per la patch” quando un Googler rilasciava i dettagli tecnici di un 0 Day Microsoft Windows senza fornire a Microsoft tempo per la creazione di una patch. La storia si ripete e nuovi security researchers hanno pubblicato i dettagli di un nuovo BUG, per cui non esiste ancora una soluzione.

Due to hostility toward security researchers, the most recent example being of Tavis Ormandy, a number of us from the industry (and some not from the industry) have come together to form MSRC: the Microsoft-Spurned Researcher Collective. MSRC will fully disclose vulnerability information discovered in our free time, free from retaliation against us or any inferred employer.

Microsoft ha sempre minimizzato questi problemi quando vengono divulgati al pubblico, come è ovvio ogni singola Azienda cerca di non “recitare il mea culpa in pubblico” a meno che sia obbligata a “lavare in pubblico i panni sporchi”. La situazione Microsoft è differente, è una società che ha fornito da sempre software User Friendly ma che è stata “deficitaria” nel supporto prodotti, almeno nel rilascio update di sicurezza per il sistema operativo Windows.

Vi è chi dice che Microsoft dovrebbe concentrarsi maggiormente sul servizio Post Vendita, altri pronti ad affermare che distribuire Windows a costo 0 offrendo invece gli updates tramite un abbonamento annuale potrebbe essere una soluzione vincente. Non sappiamo quale sia la soluzione, sappiamo solamente che Microsoft è sotto il fuoco incrociato di diversi Security Researchers e ciò potrebbe essere un bene, velocizzare il rilascio delle patch, fuori talvolta anche dal ciclo di rilascio mensile..

Per maggiori info: http://seclists.org/fulldisclosure/2010/Jul/3

Attenzione ! Abbiamo cambiato dominio !

Prosegui la lettura su Pausa Web !