Geekissimo

Office 2010, scoperte le prime due vulnerabilità e Microsoft s’inalbera

 
Andrea Guida (@naqern)
6 Luglio 2010
21 commenti

Volete far arrabbiare Microsoft? Individuate una falla di sicurezza nei suoi prodotti e comunicatelo al mondo senza avvertire Ballmer e soci. Proprio come ha fatto Vupen Security, un’azienda abbastanza attiva nel campo della sicurezza informatica (130 le vulnerabilità scoperte nel solo 2010), che sul suo blog ha pubblicato la notizia relativa all’individuazione delle prime due falle di sicurezza in Office 2010 senza comunicare la cosa ai diretti interessati, che si sono – forse giustamente – risentiti.

Secondo quanto si apprende dal post della Vupen, i ricercatori sono riusciti a creare “un codice exploit che funziona su Office 2010, bypassando il DEP (Data Execution Prevention) e la funzione di validazione dei file di Office” sfruttando “un problema di corruzione della memoria che affigge Excel”.

I dettagli tecnici della vulnerabilità non sono stati ancora pubblicati né riferiti a Microsoft, ma gli esperti di Vupen Security assicurano: “è stata scoperta una seconda vulnerabilità in Office 2010 (questa volta in Word), e contiamo di scoprirne altre nei prossimi giorni”. Anche in questo caso, i dettagli tecnici li conoscono solo loro.


La reazione di Redmond a questo doppio colpo non si è fatta attendere e, come preannunciato, è stata abbastanza stizzita: “Siamo a conoscenza delle vulnerabilità ma non siamo in possesso dei dettagli tecnici per convalidarle – ha detto il group manager of response communications di Micoroft Jerry Bryant, che poi ha continuato – Per minimizzare il livello di rischio degli utenti, continuiamo a incoraggiare delle scoperte responsabili. Riportare i dettagli sulle vulnerabilità ai produttori dei software assicura agli utenti l’arrivo di aggiornamenti completi e di alta qualità prima che i malintenzionati possano sfruttare le falle individuate”.

Parole più che condivisibili, per noi. Per il CEO di Vupen Chaouki Bekrar, invece, “la ricerca e la scoperta di vulnerabilità è un processo molto lungo e un investimento per noi, per questo non riveleremo alcun dettaglio tecnico a Microsoft. Vedere il nostro nome nei crediti di un bollettino Microsoft come compenso per il nostro lavoro non è abbastanza”.

Morale della favola: o Microsoft sborsa il grano e acquista i dettagli tecnici sulle falle da Vupen o tutti noi, poveri utenti di Office 2010, dovremmo stare con una spada di Damocle sulla testa per delle vulnerabilità scoperte ma mai corrette.

Che schifo di favola!

[Via | eWeek]
Potrebbe interessarti anche
Articoli Correlati
Google, oltre 3 milioni di dollari in palio per chi buca Chrome OS

Google, oltre 3 milioni di dollari in palio per chi buca Chrome OS

In quel di Google ne sono più che certi: Chrome OS, il sistema operativo basato sul browser web di big G, è inviolabile e per dimostrarlo Mountain View ha deciso […]

Kaspersky, i prodotti Microsoft sono più sicuri

Kaspersky, i prodotti Microsoft sono più sicuri

Stando a quanto reso noto dai tecnici di Kaspersky, la celebre azienda russa specializzata in soluzioni per la sicurezza informatica, diversamente da quanto accadeva sino a qualche tempo addietro tra i […]

Google Chrome, bucato dopo pochi minuti al Pwn2Own

Google Chrome, bucato dopo pochi minuti al Pwn2Own

Il Pwn2Own 2012 ha avuto inizio e quest’anno, a differenza di quanto verificatosi in precedenza, le cose non sono andate molto bene per Google Chrome: il tam francese di Vupen […]

Attenti a Excel, tre falle scovate

Attenti a Excel, tre falle scovate

Il bollettino di sicurezza Microsoft di qualche giorno fa parla chiaro, in Excel sono state scovate ben tre falle di sicurezza molto gravi, definite, in relazione della versione del programma, […]

Microsoft ammonisce, mai abbassare la guardia dai trojan

Microsoft ammonisce, mai abbassare la guardia dai trojan

Mamma Microsoft, nell’annuale presentazione del report sulla sicurezza, ha lanciato l’allarme: non dobbiamo abbassare la guardia nei confronti dei trojan. Anche se, dati alla mano, le vulnerabilità sono in forte […]

Lista Commenti
Aggiungi il tuo commento

Fai Login oppure Iscriviti: è gratis e bastano pochi secondi.

Nome*
E-mail**
Sito Web
* richiesto
** richiesta, ma non sarà pubblicata
Commento

  • #1E-cology Italia

    Onestamente, stavolta condivido il pensiero di Ballmer & Co.

    6 Lug 2010, 8:37 am Rispondi|Quota
  • #2geekissimo2

    dico all'autore di questo articolo, sei contento?

    6 Lug 2010, 8:55 am Rispondi|Quota
    • #3N1k

      rispondo io per lui non per difenderlo ma per dire la mia, SI
      perchè la sicurezza è un fattore fondamentale
      cè gente che preferisce tacere senza lasciare dichiarazioni,
      lasciare marcire threats sui propri sistemi per anni senza porre rimedio
      o mettere in commercio roba piena di problemi e bucati come un gruviera,
      mentre altri che sul fattore sicurezza si impegnano,
      cercano di innovarlo con nuovi sistemi, cercano di migliorare
      questi sistemi giornalmente e magari si incacchiano pure
      quando cè gente che si accorge di qualche problema
      e invece di parlare tacciono per fare la figura dei bellimbusti,
      un articolo che dopo tanto tempo finalmente tratta temi tecnologici
      degni di questo nome, che coinvolgono tutti gli user
      di tutte le fasce e che con obiettività si occupa
      di un qualcosa che è nell'interesse di tutti
      perciò ad essere soddisfatti dovremmo essere tutti,
      non solo l'autore.

      Ciao

      6 Lug 2010, 11:41 am Rispondi|Quota
  • #4N1k

    perfettamente d'accordo con l'articolo, nulla è perfetto e lo sappiamo,
    alla fine anche a costo di sudore e fatica si troveranno falle in qualsiasi cosa
    ma invece di lavorare a fronte comune per la protezione degli utenti,
    così come si è sempre fatto e microsoft si è sempre impegnata a fare,
    la gente si preoccupa più di dover dimostrare ed ostentare
    superiorità nei suoi confronti, e per cosa? la propria "soddisfazione"
    e non quella dell'user finale?
    alla fine le falle verranno rilevate, scoperte e risolte,
    quindi non ci vedo alcun vantaggio se non quello della mediaticità odierna,
    (dalla descrizione del primo problema mi sembra similare
    all'exploit del pwn2own su explorer quindi è solo questione di tempo),
    ma per ora loro cercano di fare la figura dei "nonsochè"
    mentre gli utenti non possono essere protetti al 100%;
    anche se il pericolo mi pare comunque sopravvalutato dato che non
    credo sia cosa semplice da realizzare, come lo è stato per ie8 e w7
    che hanno richiesto un vero e proprio "capoccione" dietro
    con anni d'esperienza e una settimana di tempo
    da perdere(e che in molti passaggi ha ammesso
    di essere stato fortunato nell' "indovinare" determinati indirizzi),
    figuriamoci se uno dovrebbe mettersi a fare
    caso per caso un attacco del genere per ogni user
    dato che bypassa il dep ma non l'aslr che rigenera
    gli indirizzi di allocamento ad ogni esecuzione;
    sta di fatto che il punto non è questo ma la mancanza di volontà
    dal mondo informatico di guardare alla sicurezza di ognuno di noi
    su cui però facilmente creano clamori e discussioni
    il che è davvero puerile…

    Buona Giornata

    6 Lug 2010, 9:07 am Rispondi|Quota
  • #5Diego

    Sono d'accordo con Vulpen: Microsoft fa software closed source e poi vuole contributi da freesoftware per rattoppare falle?
    Che paghi chi individua le falle!

    6 Lug 2010, 9:26 am Rispondi|Quota
    • #6N1k

      il contributo non è da parte del freesoftware ma da parte di gente
      di tecnologia,la scoperta l'avrebbe potuta fare anche mecaffe
      e il discorso sarebbe stato uguale, microsoft può anche fargli l'applauso per aver
      trovato la falla e togliersi il cappello ma dopo la superiorità
      in termine etico la dimostra chi non solo ti fa capire
      dove hai sbagliato, ma anche come porci rimedio per il bene comune
      non solo di microsoft o proprio, non stiamo parlando di potenziare
      un sistema, di renderlo migliore di altri sul piano funzionale
      parliamo di semplice sicurezza che dovrebbe essere
      in cima al sommario di chiunque si avvicini alla tecnologia.

      A questo punto perchè fare antivirus e antispyware free?
      il lavoro di chi lo fa a che serve? devono darsi all'ippica?
      dobbiamo applicare tutti il pensiero:
      non sei capace di proteggerti al 100% da solo?
      arrangiati, io il mio lavoro lo faccio solo per chi piace a me,
      non per collaborare con te sul piano della sicurezza,
      o per offrire un servizio all'utenza mondiale,
      (peccato che tantissime compagnie come avira
      su questo invece marciano e ne hanno benefici non indifferenti
      e non di certo grazie a microsoft)
      gli "amici" sputano sulla pubblicità, ma di mio
      essere pubblicizzato su un sistema presente
      sul 90% dei sistemi mondiale non mi pare di certo
      offerta da rifiutare ma da cogliere al volo
      per non rimanere nell'anonimato totale
      anzi raccattandoti anche qualche parere negativo
      per il bel figurone che fai dimostrandoti
      di essere l'ennesima compagnia che pur di non collaborare
      e avere l'esclusiva su qualcosa che alla fine microsoft
      risolverà comunque fa la voce grossa per ottenere poco quanto nulla,
      contenti loro, scontenti gli user.

      Ciao

      6 Lug 2010, 11:52 am Rispondi|Quota
    • #7Silver D

      Se poi ti trovi tutto sputtanato perchè hanno sfruttato quelle falle che Microsoft non ha potuto rattoppare a causa della presuzione di chi le ha scoperte, contento te 🙂

      6 Lug 2010, 12:06 pm Rispondi|Quota
    • #8R4MP4G3

      Sei un pazzo. Se scopri una falla, un tuo comportamento RESPONSABILE è di comunicarla ai produttori di software. poco importa se è open o closed source, è un DOVERE. Ci pensi che per quattro mentecatti, che sono pronti a vendere i dettagli al primo acquirente, si potrebbe rischiare seriamente? Se vendessero i dettagli ad un criminale? Ma state scherzando vero? Non puoi far rischiare milioni di persone, solo perchè vuoi la mazzetta. Questo è un comportamento criminale tanto quanto quelli che creano exploit per le falle.

      6 Lug 2010, 12:15 pm Rispondi|Quota
  • #9kurojishi

    esattamente come dice Diego, se vuoi il supporto della comunità e fai software chiuso ti arrangi, non puoi avere la botte piena e la moglie ubriaca

    6 Lug 2010, 11:46 am Rispondi|Quota
  • #10kurojishi

    daccordo con Diego e Vulpen, fai software chiuso e vuoi il supporto gratuito ai tuoi sistemi?
    bè ti arrangi, non si può avere la botte piena e la moglie ubriaca

    6 Lug 2010, 9:48 am Rispondi|Quota
  • #12Lev

    OpenOffice non va bene scusa? 😀

    6 Lug 2010, 10:25 am Rispondi|Quota
  • #15Alessandro Mario Esposito

    per me, fanno benone quelli della Vupen Security..

    6 Lug 2010, 1:14 pm Rispondi|Quota
  • #16emanuele

    concordo con Diego

    6 Lug 2010, 11:32 am Rispondi|Quota
  • #17satana

    passate a linux (gratuito) e in più risparmiate 400 euro di suite d'ufficio scaricando openoffice che è praticamente identico

    6 Lug 2010, 10:20 pm Rispondi|Quota
    • #18Davide Marchese Ragona

      XD Se ci lavorassi col pc non diresti così

      7 Lug 2010, 8:56 am Rispondi|Quota
    • #19nessuno

      Linux e solo per i programatori e open office fa schifo non convodiamo gli stracci con la seta

      8 Lug 2010, 9:25 am Rispondi|Quota
  • #20Domi

    Se parliamo di _sicurezza_, il confronto tra OpenOffice e MS Office proprio non esiste (nettamente a favore del primo: 12 vulnerabilità contro 144):
    http://secunia.com/advisories/product/20130/
    http://secunia.com/advisories/product/13228/

    Poi per il discorso dei soldi, mi sembra giusto che MS debba pagare visto che guadagna miliardi di dollari con le applicazioni che vende. E’ quando accade il contrario che mi è sempre sembrato una distorsione del mercato.
    Cosa pretende, che altre aziende si facciano il mazzo per trovare le loro magagne investendo tempo e denaro e che poi gli cedano tutto il lavoro per avere in cambio un semplice “grazie” in nome della sicurezza degli utenti? Tra l’altro proprio la sicurezza che non è mai stata messa a repentaglio da nessun’altra azienda quanto la MS nel corso degli anni con tutte o quasi le sue applicazioni.

    Gli affari sono affari, e questo nessuno meglio di MS lo sa, non capisco dove sia il problema. Che cacci quei quattro spicci che sarà più o meno quello che spende Balmer per un pranzo (o forse per uno spuntino visto il tipo), non sarà certo questo a far calare il capitale di MS, gli azionisti possono stare tranquilli.

    11 Lug 2010, 12:10 am Rispondi|Quota
  • #21Andrea

    ci sono aziende pagate per scoprire i problemi dei software..
    se li trovano li comunicano agli sviluppatori.

    se uno trova un baco in qualunque cosa… anche nel software open.. lo dice o lo sfrutta a suo piacimento?

    14 Lug 2010, 11:12 pm Rispondi|Quota