Google accusa Microsoft: gli utenti di Windows 7 e 8 lasciati con falle di sicurezza

Google accusa Microsoft: gli utenti di Windows 7 e 8 lasciati con falle di sicurezza

Google prende posizione contro una pratica di Microsoft relativa alla sicurezza: aggiornare prima Windows 10 e poi Windows 7 e 8.x. Una pratica che espone gli utenti a rischi di sicurezza non indifferenti

di Riccardo Robecchi pubblicata il , alle 09:01 nel canale Sicurezza
MicrosoftGoogleWindows
 

Google ha accusato Microsoft di lasciare senza protezione dagli attacchi gli utenti di Windows 8.x e Windows 7, rilasciando aggiornamenti per Windows 10 e lasciando le precedenti versioni alla mercé dei cracker.

Microsoft rilascia, infatti, prima gli aggiornamenti per Windows 10 e, dopo qualche tempo, per Windows 8.x e Windows 7. Questo comportamento permetterebbe, stando al team Google Project Zero, di far sì che i cracker abbiano il tempo di analizzare il codice e ottenere degli attacchi che possono essere portati a termine sulle piattaforme precedenti.

Come afferma Mateusz Jurczyk, ricercatore presso il team di sicurezza Google Project Zero, "Microsoft è nota per la sua pratica di apportare molte migliorie strutturali di sicurezza e talvolta anche sistemazioni di bug normali solo sulla piattaforma Windows più recente. Questo crea un falso senso di sicurezza negli utenti dei vecchi sistemi, e li lascia vulnerabili a imperfezioni nel software che possono essere individuate anche solo individuando piccoli cambiamenti nel codice corrispondente di diverse versioni di Windows."

Questa tecnica, chiamata patch diffing, è ben nota negli ambienti di ricerca e viene usata proprio per colpire quei sistemi che non sono ancora stati protetti dalle ultime patch di sicurezza. Il problema, come scrive Jurczyk, è che "differenze rilevanti dal punto di vista della sicurezza in rami di un singolo prodotto supportati allo stesso tempo possono essere utilizzate da malintenzionati per individuare debolezze significative o semplici bug nelle versioni più vecchie di tali software. Non solo questo lascia alcuni clienti esposti agli attacchi, ma rivela in maniera evidente quali sono i vettori d'attacco, il che va direttamente contro la sicurezza dell'utenza."

Il problema di supportare più versioni dello stesso sistema operativo risiede oggigiorno soprattutto nella gestione della sicurezza; lasciare le versioni più datate (ma comunque rilevanti da un punto di vista dell'installato: Windows 7 detiene ancora il 50% del mercato circa) senza protezione per un lasso di tempo superiore a pochi giorni può portare a falle di sicurezza sfruttabili dai criminali anche se già chiuse in versioni successive. Questo è un problema non nuovo e di cui anche Google è responsabile, con politiche riguardo il supporto ad Android che appaiono quantomeno migliorabili.

Microsoft afferma che il suo impegno principale va a Windows 10 e che consiglia a tutti i suoi clienti di aggiornare i propri computer all'ultima versione del software. Sebbene l'azienda abbia fin qui seguito un percorso positivo con Windows 10, un cambio di politica sembra, però, necessario per tutelare tutta l'utenza e non solo quella parte che ha adottato il nuovo software.

134 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
s-y09 Ottobre 2017, 09:11 #1
in effetti le patch dovrebbero essere 'backportate' contemporaneamente su tutti gli os correntemente supportati

anche se il tutto temo ricada (con una certa aggiunta di clickbaiting) nella guerra che si stanno facendo da un pò...

anche perchè, per quanto 'legalmente a posto', la politica sull'ecosistema android non è esente da critiche non tanto diverse
GTKM09 Ottobre 2017, 09:14 #2
Originariamente inviato da: s-y
in effetti le patch dovrebbero essere 'backportate' contemporaneamente su tutti gli os correntemente supportati

anche se il tutto temo ricada (con una certa aggiunta di clickbaiting) nella guerra che si stanno facendo da un pò...

anche perchè, per quanto 'legalmente a posto', la politica sull'ecosistema android non è esente da critiche non tanto diverse


Ma infatti e' semplicemente una guerra tra di loro, usando la finta scusa dell'interesse verso gli utenti. Come se a Google fregasse veramente qualcosa della sicurezza di Windows.
ilbarabba09 Ottobre 2017, 09:16 #3
47 versioni diverse di Android, 30 abbandonate da tempo e 14 non ricevono più patch da febbraio.
Ne restano 3 che bene o male sopravvivono (escludendo Orello ovviamente).
Bivvoz09 Ottobre 2017, 09:28 #4
Ma se microsoft quest'anno ha rilasciato anche un aggiornamento per XP il cui supporto è terminato da 3 anni per risolvere il bug sfruttato da wannacry.
Google invece aggiorna tutte le 40 versioni di android contemporaneamente?
TheZioFede09 Ottobre 2017, 09:32 #5
per quanto la critica è corretta mi pare l'ennesimo caso di ipocrisia made by google, tanto per dire l'ultimo aggiornamento di chromeOS non è stato manco distribuito a tutti i chromebook

ad ogni modo ipotizzo che semplicemente quando scrivono una patch concentrano il testing sulle versioni nuove e poi via via ai windows più vecchi, che immagino ricevano le patch il mese successivo, sarebbe sicuramente un processo da aggiustare
Alfhw09 Ottobre 2017, 09:34 #6
Potrei capire se la critica venisse da altri ma detto da Google che dopo 3 anni non aggiorna più i suoi nexus/pixel neanche con le patch di sicurezza... Il mio Samsung S4 ha ricevuto l'ultima patch di sicurezza dopo 3 anni e mezzo contro i 3 del Nexus 5. E MS supporta Windows per 10 anni.
Google predica bene ma razzola male.
Benjamin Reilly09 Ottobre 2017, 09:39 #7
+ che essere una "guerra" tra loro è nell'interesse dell'utente essere tutelato (anche perchè è il soggetto che arricchisce entrambi).

Quindi la notizia è utile a prendere coscienza dell'interesse generato dal rapporto economico (e anche giuridico) instaurato, e dei rischi causati dall'assenza di sicurezza (la tutela dai rischi è interesse principale dell'utente indipendentemente dalle proprie preferenze soggettive).
maxnaldo09 Ottobre 2017, 09:40 #8
a parte la sterile polemica di Google, il mulo che da dell'asino al cavallo...

perchè non aggiornare a W10 ed evitare così questi "problemi" ?

personalmente penso che non ci siano motivi validi per tenersi un vecchio OS sul PC. Softwares non compatibili ? Vuol dire che sono softwares abbandonati dagli sviluppatori, tanto vale passare ad altro. Posso capire solo chi ha qualche software custom, come in qualche azienda, ma il resto del mondo non ha scuse.

non aggiornare un OS in uno smartphone ci può stare, lì i nuovi OS richiedono sempre più risorse hardware, ma nel mondo PC non è così, W10 gira meglio di W7 su un vecchio hardware.
s-y09 Ottobre 2017, 09:43 #9
Originariamente inviato da: maxnaldo
a parte la sterile polemica di Google, il mulo che da dell'asino al cavallo...

perchè non aggiornare a W10 ed evitare così questi "problemi" ?

personalmente penso che non ci siano motivi validi per tenersi un vecchio OS sul PC. Softwares non compatibili ? Vuol dire che sono softwares abbandonati dagli sviluppatori, tanto vale passare ad altro. Posso capire solo chi ha qualche software custom, come in qualche azienda, ma il resto del mondo non ha scuse.

non aggiornare un OS in uno smartphone ci può stare, lì i nuovi OS richiedono sempre più risorse hardware, ma nel mondo PC non è così, W10 gira meglio di W7 su un vecchio hardware.


ci può stare, ma se l'azienda lo supporta il vecchio, deve tenerlo patchato allo stesso modo
Ginopilot09 Ottobre 2017, 09:45 #10
Che la situazione nel mondo android sia un vero disastro, con prodotti in vendita non aggiornati da anni e con patch di sicurezza vecchie di uno o piu' anni, e' un dato di fatto. Ma che ms per spingere win10 trascuri un po' 7, anche, ed e' anche comprensibile. Che poi le patch arrivino poco dopo non e' un grosso problema.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^