Le falle sono presenti nel browser Edge e su Windows 10. Entrambi i bug sono stati rivelati prima della pubblicazione delle patch da parte di Microsoft
Ancora Google Project Zero, ancora falle nella sicurezza di un prodotto Microsoft. Qualche giorno fa, il team di ricerca del colosso di Mountain View aveva reso pubblica una vulnerabilità basata sull’esecuzione di un codice all’interno del browser Edge. Due giorni dopo, i ricercatori hanno rivelato l’esistenza di un altro problema , ma questa volta in Windows 10: A causa dell’errore, un utente normale potrebbe ottenere lo status di amministratore del sistema. Entrambe le vulnerabilità sono state rivelate prima della pubblicazione delle patch da parte di Microsoft. La prassi di Project Zero è quella di aspettare 90 giorni per dare il tempo alle compagnie di sviluppare una correzione. Nel primo caso, a Microsoft sono stati concessi 14 giorni in più, per permettergli di pubblicare la patch nell’aggiornamento di febbraio. Ma Redmond non è riuscita ad inserirla. Nel secondo caso, i bug erano due, ma solo uno è stato risolto con l’aggiornamento. In passato però, la regola era molto più restrittiva: 7 giorni di tempo. Nel mese di ottobre del 2016, Project Zero aveva rivelato una falla in windows 10, solamente una decina di giorni dopo aver avvertito Microsoft della presenza del bug. La pratica di rendere pubbliche le vulnerabilità, prima della pubblicazione di una patch è stata più volte criticata dalla stessa Microsoft che punta il dito contro un comportamento irresponsabile da parte di Google. Secondo The Verge, la prassi del colosso di Mountain View, presenta luci ed ombre: da una parte, si potrebbe dire che se Google sta rendendo più sicuro i prodotti del rivale, la sicurezza aumenta per tutti. Dall’altra, i suoi interessi commerciali potrebbero portarlo ad essere molto aggressivo nei confronti di Microsoft. Allo stesso tempo è vero che i 90 giorni di tempo valgono per tutti. Una regola molto stringente ma forse anche necessaria.
La Stampa