Link alla notizia: http://www.hwupgrade.it/news/sicurezza-software/grave-falla-di-windows-corretta-ad-oltre-un-anno-dalla-sua-diffusione_56015.html

Microsoft ha rilasciato una patch di sicurezza per rendere immuni i sistemi da Jasbug, grave falla di sistema risalente al gennaio 2014 che permette l'esecuzione di codice da remoto su Windows

Click sul link per visualizzare la notizia.

Meglio tardi che mai! :asd:

Meglio tardi che mai! :asd:

Daccordo ma...

Il gigante di Redmond ha impiegato circa 13 mesi per effettuare la correzione, nello specifico perché coinvolgeva parti cruciali del codice di Windows e non si trattava esclusivamente di un problema di implementazione.

Probabile visto che MS rilascia le patch di sicurezza a cadenza mensile e quando è grave anche prima.

Ma esiste WINDOWS SERVER 2013 ? Magari esiste Exchange 2013 o windows server 2012 R2.

Ma esiste WINDOWS SERVER 2013 ? Magari esiste Exchange 2013 o windows server 2012 R2.

Probabilmente si riferiva a Windows Server 2003. Anche perchè danno supporto alla versione 2008 e non a quella 2013? Sarebbe da ridere :D

Lo so infatti la mia domanda era ironica!!

Probabile anche che MS, come da accordi, abbia comunicato la grave falla alla NSA in attesa del loro OK per il fix (dopo averla sfruttata a dovere).

Non per difendere MS, ma credo che se volessero fare un accordo del genere basta creare una Backdoor che non sia una falla per eseguire codice da remoto. A meno che la falla sia intenzionalmente voluta, ma qui siamo nel campo delle illazioni.

Fa parte degli accordi seguiti al Patriot Act.
Una backdoor avrebbe potuto provocare una protesta globale da parte degli utenti ed una serie di azioni legali contro la MS stessa.

MS, ma anche altre software house, comunicano sistematicamente alla NSA le falle che via via vengono scoperte.

Purtroppo la realtà va ben oltre l'immaginazione.
dunque correggono le falle solo dopo che sono state scoperte anche da altri servizi/società di sicurezza ecc ? complimenti :asd:

PS: complimenti a MS anche per il mancato supporto a Server 2003, che gode ancora del supporto. :D D'altra parte come dice un famoso antico proverbio... "colui che usa windows sui server è causa del suo male" :D

commenti che accuseranno pulsar68 di complottismo in 3... 2... 1...

Fa parte degli accordi seguiti al Patriot Act.
Una backdoor avrebbe potuto provocare una protesta globale da parte degli utenti ed una serie di azioni legali contro la MS stessa.

MS, ma anche altre software house, comunicano sistematicamente alla NSA le falle che via via vengono scoperte.

Purtroppo la realtà va ben oltre l'immaginazione.

PS Il primo link che mi è capitato facendo una semplice ricerca online http://www.downloadblog.it/post/56049/microsoft-comunica-le-falle-di-sicurezza-allnsa-prima-delle-patch

Se quello che dici è vero allora qui non si tratta di accordo, ma di legge di stato contenuta nel Patriot Act, a cui nessuna software House si può sottrarre.
In sostanza, se Microsoft o Apple o Google o Oracle o chi vuoi non accettano di sottostare al patriot act che succede?

Se quello che dici è vero allora qui non si tratta di accordo, ma di legge di stato contenuta nel Patriot Act, a cui nessuna software House si può sottrarre.
In sostanza, se Microsoft o Apple o Google o Oracle o chi vuoi non accettano di sottostare al patriot act che succede?
Ci sarà un premio, come minimo gli esportatori di democrazia ti mandano alla famosa "Guantanamo software house" ? :D

http://www.thegatewaypundit.com/wp-content/uploads/2011/09/gitmo-detainee.jpg

Marissa Mayer: 'It's Treason' For Yahoo To Disobey The NSA
"Releasing classified information is treason. It generally lands you incarcerated," she said, clearly uncomfortable with the turn of the conversation.
http://www.businessinsider.com/marissa-mayer-its-treason-to-ignore-the-nsa-2013-9?IR=T

Più che "esportare democrazia", quello che san fare meglio è esportare (vendere) armi, dato che è l'industria principale statunitense ;)

http://s14.postimg.org/513gneecd/obama_pop_guerra_nobel.jpg (http://postimg.org/image/513gneecd/)
Esportatori di guerra certamente, ma anche di dittature sanguinarie, vedi sud america, di corruzione di valori sani e di costumi.

Per piacere correggete :

Microsoft non ha rilasciato, né lo farà mai, un fix per Windows Server 2013, versione il cui supporto cesserà definitivamente fra pochi mesi.


con:

Microsoft non rilascerà un fix per Windows Server 2003, il cui supporto cesserà definitivamente fra pochi mesi.


grazie

Io non so scrivere codice ma se penso che in 1 anno riescono a sviluppare quasi un SO stento a credere che ci siano voluti ben 13 mesi per trovare un fix ;)Creare da zero o comunque aggiungere al preesistente senza fare grosse modifiche è ed è sempre stato MOLTO più facile che cercare di correggere errori in ciò che esiste già, specialmente se erano cose complesse.
Vale in tutto.

Se effettivamente era un problema rognoso ci sta che ci abbiano messo un anno, perchè non devono solo fare un fix, ma devono intanto capire quali parti di codice causano il problema e poi devono fare un fix che non incasini altri programmi nè che introduca altri bug.
Il grosso del tempo lo perdono a fare dei test per cercare di cogliere un bug sul fatto.

Fa parte degli accordi seguiti al Patriot Act.
Una backdoor avrebbe potuto provocare una protesta globale da parte degli utenti ed una serie di azioni legali contro la MS stessa.

MS, ma anche altre software house, comunicano sistematicamente alla NSA le falle che via via vengono scoperte.Calma, le falle di sicurezza che MS e altre software house vanno a patchare sono solo le falle di pubblico dominio, per ovvie ragioni economiche. (più magari delle cose che scoprono per i fatti loro ma è una minoranza)

Quando sono di pubblico dominio NSA e altri servizi segreti le sfruttano, e non c'è niente di particolarmente scandaloso.

Poi abbiamo naturalmente i casi in cui NSA e altri sono stati beccati a sapere e sfruttare bug senza che nessuno li avesse resi pubblici.
Ma questo avviene principalmente perchè sono molto attivi nel cercare di craccare tutto il craccabile per ottenere informazioni. Hanno divisioni di hacker pagati per fare ciò, e non è un segreto.

Non è che MS o altri li informino perchè ci sono patti segreti o chissà cosa. MS o altri non sanno neanche che ci sono dei bug se nessun analista o hacker rende pubbliche le sue scoperte.

Magari era meglio credere che ci fosse un complotto, ma la realtà è semplicemente che a MS e ad altri tira il :ciapet: agire se non farlo non porta conseguenze particolari.

C'è un motivo se la Cina dal 2001 usa un Linux custom come sistema operativo dei computer e sistemi informatici statali. Dato che hanno sotto mano il codice sorgente possono farsi i debug e sistemare i problemi senza dover dipendere da terze parti a cui alla fine importa solo di non fare figuracce.

Marissa Mayer: 'It's Treason' For Yahoo To Disobey The NSA
"Releasing classified information is treason. It generally lands you incarcerated," she said, clearly uncomfortable with the turn of the conversation.
http://www.businessinsider.com/maris...sa-2013-9?IR=TQui è un caso di NSA che chiede ad azienda X di dargli dati su persone americane, e anche nell'articolo dicono che l'azienda si può rifiutare di fornirli se non ci sono certe condizioni.

E ovviamente dice che parlare di chi, come e quando la cosa è avvenuta sarebbe rilasciare informazioni riservate, perchè effettivamente lo è.

Non è che MS o altri li informino perchè ci sono patti segreti o chissà cosa. MS o altri non sanno neanche che ci sono dei bug se nessun analista o hacker rende pubbliche le sue scoperte.

e invece sì :D

U.S. Agencies Said to Swap Data With Thousands of Firms
June 15 (Bloomberg) -- Thousands of technology, finance and manufacturing companies are working closely with U.S. national security agencies, providing sensitive information and in return receiving benefits that include access to classified intelligence, four people familiar with the process said.

Microsoft Bugs
Microsoft Corp., the world’s largest software company, provides intelligence agencies with information about bugs in its popular software before it publicly releases a fix, according to two people familiar with the process.

http://www.bloomberg.com/news/articles/2013-06-14/u-s-agencies-said-to-swap-data-with-thousands-of-firms

e invece sì :D E invece no.
L'articolo dice che quando viene trovato un bug MS deve fornire tutti i dettagli al governo americano (che usa appunto sistemi MS) prima che venga pubblicata una patch perchè così possono avviare misure di controllo danni per evitare che i loro stessi sistemi vengano bucati sfruttando tali vulnerabilità (va da sè che poi i servizi segreti sfruttano l'occasione, ma il motivo principale è inattaccabile).

Frank Shaw, a spokesman for Microsoft, said those releases occur in cooperation with multiple agencies and are designed to give government “an early start” on risk assessment and mitigation.

Non parla minimamente di gomblotti dove MS conosce magicamente dei bug sconosciuti al mondo, li tiene segreti perchè è cattiva e fornisce queste info a terze parti perchè sono più cattive di lei.

Il grosso del casino sono i dati personali degli utenti che vengono forniti a cani e gatti del governo usa a richiesta, non MS o altri che danno informazioni su bug che sono già pubblici.

Con tutti i DB di exploit che esistono, figurati se l'NSA o chi per lei si fanno tanti problemi.

Nota bene: qualsiasi sia il SO, vogliamo citare il caso di OpenSSL?

Non parla minimamente di gomblotti dove MS conosce magicamente dei bug sconosciuti al mondo, li tiene segreti perchè è cattiva e fornisce queste info a terze parti perchè sono più cattive di lei.

sì, ne parla proprio nella riga sopra

this type of early alert allowed the U.S. to exploit vulnerabilities in software sold to foreign governments, according to two U.S. officials. Microsoft doesn’t ask and can’t be told how the government uses such tip-offs, said the officials, who asked not to be identified because the matter is confidential.

L'articolo è di 2 anni fa, lo prevede la legge americana, ogni azienda USA deve rispettarla dalla Apple alla REDHAT, ne parla tutto il mondo informatico da ormai due anni, su Arstechnica c'è un articolo un giorno sì e uno no... poi se ti fa piacere ripetere le parole "gomblotto" buon divertimento :D

Non dimentichiamo che il Patriot Act prevede che certe agenzie federali possano aver accesso ai dati che ritengono necessari, senza un mandato del giudice.
Questo è valido per qualsiasi attività con sede sul suolo USA.

Detto ciò, sono abbastanza sicuro che le multinazionali del settore abbiano accordi segreti con il Governo, non credo che aprano i loro database senza avere nulla in cambio.

sì, ne parla proprio nella riga sopra

this type of early alert allowed the U.S. to exploit vulnerabilities in software sold to foreign governments, according to two U.S. officials.Ah sì, e dove dice che questi bug erano sconosciuti al mondo?

No perchè dare info su bug conosciuti è un conto, dare info su bug tenuti segreti è un'altra questione e sarebbe un caso di gomblotto.

è questo il punto che sto cercando di far passare.

Il Patrioct Act, che io rinominerei Peto act, voluto dal quel cerebroleso di Donald Rumsfeld e avvallato dall'amministrazione Bush, ha causato più problemi che altro, nessuno conosce effettivamente quanto e come sia servita per sventare il terrorismo e quanto invece non sia servita per controllare e spiare amministrazioni nel mondo.
Intanto ha causato un allarme anche negli alleati storici degli Stati Uniti come gli europei che non si fidano più di loro, e lo credo bene.. ha dato in un vassoio d'argento i motivi per dubitare degli stati uniti anche da parte di nemici storici come la Russia oltre tutti i paesi di "fede" islamica, se poi aggiungiamo la crisi mondiale partita dai LORO mutui subprime e dalle LORO corrotte agenzie di rating ... tutte leggi volute dall'ex alcolizzato George e dal suo amico guerrafondaio dick cheney...
Fortunatamente gli usa sono una democrazia e hanno anticorpi interni per rimettere a.posto le cose..

La tecnologie avanza ma le persone rimangono sempre le stesse... In passato sono convinto che gli Stati Uniti hanno sfruttato la legge del Patriot Act e le varie agenzie come la NSA per rilevare dati sensibili di chi si voleva e nello stesso tempo cercare di pararsi le chiappe in caso si scoprisse qualcosa come è successo. Il problema come al solito sono le persone...Qualsiasi sistema operativo è hackerabile proprio perché è gestito da delle persone che compiono azioni su di esso, e purtroppo gli interessi a volerlo fare ci saranno sempre.

Immaginiamo (per assurdo) che la MS sia una multinazionale Russa, ad esempio, gli americani li avrebbero già bombardati.
Quando è stata l'ultima volta che gli USA hanno bombardato degli asset di una multinazionale straniera dalla quale dipendono al 9o%? :mbe:

No per dire, l'Arabia Saudita fa molto peggio e c'entra veramente con il terrorismo jihadista, ma essendo dei semi-monopolisti di risorse fondamentali nessuno alza un dito.

Viviamo in un contesto in cui spionaggio informatico e cyber-war sono continue. Prima si capirà che l'infrastruttura informatica e delle telecomunicazioni anche di privati è sotto costante minaccia e meglio è.

Da noi all'università continuiamo a ricevere attacchi da IP cinesi che tentano di bucare i server via bruteforce ssh.

Il problema maggiore è che molti di coloro che dovrebbero gestire l'apparato informatico non hanno alcuna sensibilità in proposito (e sono stato abbastanza gentile).

Nota a margine: mi diceva una persona che si trova in aeronautica e che si occupa di questo (si da noi se ne occupa l'aeronautica) che i cinesi hanno formato un esercito vero e proprio di circa 40 mila persone che si occupano solo di quello.

Ergo, non sono solo gli Stati Uniti ad essere sporchi e cattivi.