mercoledì 11 febbraio 2004

[Tech] Microsoft 'tappa' una gravissima falla di sicurezza - con sei mesi di ritardo


Ieri Microsoft ha annunciato la disponibilità di una patch di sicurezza (da installare "il prima possibile") per le seguenti versioni dei suoi sistemi operativi:
  • Windows NT;
  • Windows 2000;
  • Windows XP;
  • Windows NT Server;
  • Windows 2000 Server;
  • Windows 2003 Server.
"This is one of the most serious Microsoft vulnerabilities ever released," said Marc Maiffret of eEye Digital Security of Aliso Viejo, California, which discovered the new Windows flaws. "The breadth of systems affected is probably the largest ever. This is something that will let you get into Internet servers, internal networks, pretty much any system."



Maiffret said some computer systems that control critically important power or water utilities were vulnerable.



Maiffret predicted hackers will try to unleash a damaging Internet infection within weeks. Unlike earlier vulnerabilities that spawned such attacks, hackers can exploit the newly disclosed flaws to break into susceptible computers using dozens of methods, making any defense far more difficult.



"The race will be on," agreed Marcus Sachs, a former White House adviser on cybersecurity.
La falla è stata definita "critical" da Microsoft; uno dei security executive dell'azienda, Stephen Toulouse, ha dichiarato che i componenti software interessati da questa vulnerabilità appartengono a una extremely deep and pervasive technology in Windows e ha sollecitato gli utenti ad applicare la patch "immediatamente".



Tutto bene, insomma? Mamma Microsoft si preoccupa dei suoi utenti e pubblica tempestivamente tutte le informazioni e le patch di sicurezza necessarie per garantire il corretto funzionamento dei loro computer e del loro business?



Non proprio:
Researchers at eEye discovered the problems last July and agreed to keep quiet about them until Microsoft could fix them. Maiffret complained that the delay between eEye's discovery and Tuesday's public disclosure by Microsoft was "just totally unacceptable" because Windows users were broadly vulnerable during the period.
Ho controllato sul sito di eEye: il problema è stato segnalato a Microsoft il 25 Luglio 2003; la patch è stata "urgentemente" rilasciata da Microsoft il 10 Febbraio 2004.



Sei mesi. Sei mesi per una patch urgente, relativa a una grave falla di sicurezza che interessa moduli software e servizi come Internet Explorer, Outlook, Outlook Express, Kerberos, Microsoft IIS, NTLMv2...



Fonte: Wired News.



Pubblicato da alle

Nessun commento:

Posta un commento

Nota. Solo i membri di questo blog possono postare un commento.

Iscriviti a: Commenti sul post (Atom)