Link alla notizia: http://www.hwupgrade.it/news/sicurezza-software/google-rivela-falla-di-windows-non-ancora-corretta-microsoft-risponde-infuriata_65457.html

Un team di ricercatori di sicurezza di Google ha rivelato una falla su svariate versioni di Windows non ancora corretta. Microsoft ha già provveduto a fornire una risposta ai propri clienti, non del tutto contenta dal comportamento di Big G

Click sul link per visualizzare la notizia.

uno che fa la spia, l'altro che pretende omerta'

in ogni caso imho piu' semplicemente dovrebbero rivedere la policy per queste casistiche

no, uno che si dà la zappa sui piedi (sfrutta una falla sui vecchi chrome) e l'altro che sfrutta il tutto (senza rossore) per dire che il suo e' piu' lungo...
di mezzo tanta gente che non sà nemmeo che sta succedendo.

... hai perfettamente colto il sunto, Bivvoz.

cmq sia, secondo me e' un bene che escano certe cose (a prescindere dal comico duo in oggetto, che in effetti...)

no, uno che si dà la zappa sui piedi (sfrutta una falla sui vecchi chrome) e l'altro che sfrutta il tutto (senza rossore) per dire che il suo e' piu' lungo...
di mezzo tanta gente che non sà nemmeo che sta succedendo.

... hai perfettamente colto il sunto, Bivvoz.

Cosa c'entra Chrome?

Non facevano prima a rivelare cosa funziona a dovere su windows?

Certo che sono proprio degli strontium :D

Oh, ma disabilitateli gli aggiornamenti, eh! Mi raccomando!
Tanto non servono a niente, solo ad incasinare i pc funzionanti. :asd:

uno che fa la spia, l'altro che pretende omerta'

in ogni caso imho piu' semplicemente dovrebbero rivedere la policy per queste casistiche

Concordo, 10 giorni sono pochi per sistemare bachi di questo tipo, rischi di crearne altri ben più pesanti.

Certo che comunque Microsoft non ha risposto benissimo, cioè se i nostri ci dicessero all'ultimo che siamo tutti in pericolo di vita non mi farebbe certo piacere (anche se forse già lo fanno...)

Che si mettano d'accordo, sembra di vedere 2 bambini che litigano

Non per difendere microsoft ma 7 giorni mi sembrano oggettivamente pochi.


@Varg87 Ormai manca solo che qualcuno consigli di installare Windows Xp senza service pack, aggiornamenti, antivirus e firewall. A parte gli scherzi la verità credo che stia in mezzo, purtroppo.....

Qui sto con Microsoft. Patchare quel tipo di codice potrebbe non essere semplicissimo. Devi trovare le risorse, riprodurre il problema, investigare la causa, decidere come risolverlo senza fare danni maggiori (una funzionalitá nel kernel é una cosa delicata da toccare), testarla MOOOOLTO bene e prepararla per la pubblicazione con il prossimo aggiornamento.

Tutto questo in 7 giorni? Naaa, vorrei vedere google nella stessa situazione...

Non per difendere microsoft ma 7 giorni mi sembrano oggettivamente pochi.


@Varg87 Ormai manca solo che qualcuno consigli di installare Windows Xp senza service pack, aggiornamenti, antivirus e firewall. A parte gli scherzi la verità credo che stia in mezzo, purtroppo.....

beh allora non ti consiglio di andare nella sezione di windows xp di questo forum... :sofico:

Qui sto con Microsoft. Patchare quel tipo di codice potrebbe non essere semplicissimo. Devi trovare le risorse, riprodurre il problema, investigare la causa, decidere come risolverlo senza fare danni maggiori (una funzionalitá nel kernel é una cosa delicata da toccare), testarla MOOOOLTO bene e prepararla per la pubblicazione con il prossimo aggiornamento.

Tutto questo in 7 giorni? Naaa, vorrei vedere google nella stessa situazione...

infatti, credo che patchare richieda un po' più lavoro che un browser o un SO mobile (che poi in questo caso Google è l'ultima che può parlare)

tra l'altro mi pare che l'AU di win10 sia immune da questo exploit

Soprattutto se contiamo che Linux ha un bug enorme da 9 (NOVE) anni nel kernel e se ne sono sempre fregati e la Microsoft deve risolvere tutto in una settimana se no Google lo fa sapere a tutti? Ma cos'è un ricatto :muro: ?

vabbe' pero' se si fa a "anche tu-u, anche tu-u", non si finisce piu', oltre che fare (come thread, diciamo) non una miglior figura rispetto ai due simpatici battibeccanti in oggetto

7 giorni? Google doveva aspettare 5 minuti e poi sbandierare tutto all'aria. Mah.
Tutti bravi a guardare a casa degli altri poi quando c'è schifo nel proprio di os e nel proprio store ci si muove con la stessa velocità di una lumaca morta.

Se si aggiorna si aggiorna troppo, se non si aggiorna subito ci si mette troppo, se si è tempestivi bisognava fare più beta testing, se non si è tempestivi a microzozz non frega niente dell'utente. Mah x2.

boh, se microsoft ha davvero pronta una patch per il prossimo martedì in questo caso secondo me google è in torto e basta, hanno solo aiutato chi voleva usare l'exploit in mala fede, e hanno sfruttato la situazione solo per tessere le lodi di chrome quando anche edge su AU sembra immune

Quando chrome non esce bene dagli ultimi test sulla sicurezza e cogli la palla al balzo per spalare m*rda sulla concorrenza :asd:

in ogni caso non escluderei che questo tipo di schermaglie (o meglio, la diffusione dei botta-e-risposta come headlines) possa far parte di una guerra, che potrebbe in futuro diventare piu' evidente. cmq vedremo...

Lo fa con tutti, anche con se stessa... solo che ovviamente se quando ci sta di mezzo MS ogni occasione è buona per fare vittimismo ed innalzarla a vittima sacrificale del mondo e di tutti i complotti della terra e dell'universo :rolleyes: :doh:

Grazie. Finalmente qualcuno che non rosica e spiega le cose come stanno fornendo fonti.

Forse è meglio sapere queste cose piuttosto che nascondere la testa sotto la sabbia "perché 7 giorni sono pochi". A parte il fatto che stiamo parlando di 7 giorni in cui un gruppo ben nutrito di ingegneri ben retribuiti deve occuparsi di risolvere una falla. Mi rendo conto che è un problema complesso, ma se 10 persone se ne occupano non credo che in 56 ore (8 ore lavorative per 7 giorni) non sia possibile produrre quantomeno un workaround. Altrimenti l'ottavo giorno annunci che c'è una vulnerabilità e si rende necessario fare così, così e così.

Grazie. Finalmente qualcuno che non rosica e spiega le cose come stanno fornendo fonti.

Forse è meglio sapere queste cose piuttosto che nascondere la testa sotto la sabbia "perché 7 giorni sono pochi". A parte il fatto che stiamo parlando di 7 giorni in cui un gruppo ben nutrito di ingegneri ben retribuiti deve occuparsi di risolvere una falla. Mi rendo conto che è un problema complesso, ma se 10 persone se ne occupano non credo che in 56 ore (8 ore lavorative per 7 giorni) non sia possibile produrre quantomeno un workaround. Altrimenti l'ottavo giorno annunci che c'è una vulnerabilità e si rende necessario fare così, così e così.

Guardate che stiamo parlando di un OS abbastanza complesso, non di un gestionale in Java, o del sito web del paninaro.

Dirty COW, su Linux, per una decina d'anni è rimasto senza fix perché quello che aveva provato ad introdurre Torvalds ai tempi faceva danni altrove.

@Varg87 Ormai manca solo che qualcuno consigli di installare Windows Xp senza service pack, aggiornamenti, antivirus e firewall. A parte gli scherzi la verità credo che stia in mezzo, purtroppo.....

E ce ne sono, fidati che ce ne sono, anche su questo forum!

E ce ne sono, fidati che ce ne sono, anche su questo forum! e TheZioFede

Io sono uno di questi! Ho una vm con Xp SP3 e null'altro per far girare una copia del Peugeot planet 2000 che di tanto in tanto mi serve per una vecchia peugeot.

Usato quotidianamente come os resta una follia(per me) con win 7 in giro. Mi sta bene usarlo per qualcosa di particolare ma per il resto sta bene dove sta: nel suo supporto di installazione.

ma infatti xp può andare ancora bene per usi specifici OFFLINE, usarlo per navigare quando esistono distro linux specifiche per vecchi pc mi pare una follia, anche perché manco sono disponibili browser aggiornati a parte firefox (che tra poco smetterà di essere aggiornato anch'esso) poi di certo non li fermerò io con questo post :D

A chi lo dici, conosco un avvocato(per la Boldrini: avvocatessa/avvocata) che si ostina ad usare xp quotidianamente, compreso ie!! Per fortuna sembra essere pulito ma io ormai vivo con la certezza che prima o dopo prenderà qualche ransomware e saranno uccelli per diabetici per me(lei:"caro, mi devi recuperare i file sul pc!", io: :muro: :incazzed: :ncomment:).

Comunque, ecco xp in vm http://oi65.tinypic.com/dd2tmq.jpg

Rientrando in topic: Per riguarda la falla in questione: è meglio una falla conosciuta e non corretta che una tenuta nascosta e, sempre, non corretta

Nel, prima caso almeno sai da dove può arrivare il pericolo...nel caso specifico, disattivi flash in attesa del fix, al fine di ridurre al minimo il rischio
Nel secondo caso continui a navigare del tutto ignaro del pericolo a cui sei sottoposto

Tra l'altro se vi scomodate ad informarvi prima di commentare , vi rendereste conto che è proprio la politica di google (https://security.googleblog.com/2013/05/disclosure-timeline-for-vulnerabilities.html) pubblicarlo entro 7 giorni, corretto o meno


https://security.googleblog.com/2013/05/disclosure-timeline-for-vulnerabilities.html

Lo fa con tutti, anche con se stessa... solo che ovviamente se quando ci sta di mezzo MS ogni occasione è buona per fare vittimismo ed innalzarla a vittima sacrificale del mondo e di tutti i complotti della terra e dell'universo :rolleyes: :doh:
Ma anche no: il fatto che Google per SUA policy pubblichi le falle dopo 7 giorni NON implica necessariamente che sia una cosa buona e giusta.

certo che però potrebbero applicare lo stesso principio ai loro sistemi... mi sembra che sia passato qualche giorno in più dei canonici 7

http://arstechnica.com/security/2016/11/fix-for-critical-android-rooting-bug-is-a-no-show-in-november-patch-release/

Certo che potresti imparare a leggere...

Google NON PRETENDE IL FIX IN 7 GIORNI (per quello possono passare anche 60 giorni), ma solo che la falla VENGA RESA PUBBLICA IN 7 GIORNI

Ma chi è Google per inventarsi regole?

Non facevano prima a rivelare cosa funziona a dovere su windows?

in effetti :asd:
mi chiedo come non sia in difficoltà un azienda che è imbarazzante in tutti i settori dove è presente

Certo che potresti imparare a leggere...

Google NON PRETENDE IL FIX IN 7 GIORNI (per quello possono passare anche 60 giorni), ma solo che la falla VENGA RESA PUBBLICA IN 7 GIORNI

insomma rendiamola subito pubblica, poi rilasciamo la patch quando ci pare

una strategia vincente

ovvio che no, ma dai la possibilità a più persone di sfruttarla, o tutti i cracker hanno un cervello in condivisione?

E ribadisco che questo vittimismo di Microsoft e della sua utenza sta diventando parecchio patetico...

francamente anche dai tuoi post sembra che tu voglia difendere google a tutti i costi, io ho voluto fare solo notare il contrasto di come google ha fretta di rivelare le falle, molto meno nel correggerle

non ho mai avuti problemi ad attaccare microsoft, non vedo dove sta il vittimismo, entrambe sono aziende che pensano prima di tutto a lucrare, mica al bene degli utenti

Ma dai anche la possibilità agli utenti di mettere una pezza temporanea in attesa del fix definitivo...
E se uno ci mette una pezza temporanea, che cosa sfrutti più?

Tra "una falla aperta e non conosciuta all'utente ma a pochi cracker" ed "una falla aperta con fix temporaneo conosciuta a tutti i cracker", qual è più pericolosa?

tipo? stare attenti a dove si clicca? meno male che mi ha avvisato google

Una serratura, che è solo di uno, è completamente diversa da una falla di un sistema che invece coinvolge anche terzi che si ritrovano per certo con una falla aperta, senza aver possibilità di proteggersi, ed addirittura senza sapere di essere esposti a tale falla

Un esempio più adeguato sarebbe un difetto di produzione della serratura: è meglio avvisare solo il produttore, ed aspettare che il produttore risolva il problema e lo comunichi ai cliente (nel frattempo però hanno una serratura che si apre facilmente senza saperlo)... o pubblicare su siti e tg la notizia che tale serratura si apre con tale trucchetto, in modo che i clienti aggiungano un lucchetto aggiuntivo come protezione temporanea?
Solo se i clienti non fossero in vacanza o da qualche altra parte proprio durante quell'annuncio, perché altrimenti della casa rimarrebbero soltanto i pilastri. :D

Google dice: Noi pubblichiamo la falla anche in assenza di un workaround, sarà cura dell'utente proteggersi in qualche modo.

Traduzione sintetica: https://www.youtube.com/watch?v=1iUMDOriYyE

Insomma, gli utenti comuni la pigliano in quel posto due volte: la prima volta da google che pubblica la falla a spron battuto, la seconda volta dal produttore del software fallato che per difficoltà o per negligenza se la prende comoda.

A parer mio non mi sembra un comportamento corretto da parte di google(con le sue attuali tempistiche) perché lascia l'utente in balia dei cracker pavesi(si scherza) o dell'ultimo arrivato.

Quelli più critici/già sfruttati li comunicano dopo 7 giorni, quelli meno gravi dopo 90 giorni...

Esattamente il contrario di quello che farei io. Una falla grave va consegnata a cani e porci il più tardi possibile. Io farei 90 giorni per tutte e fine della storia. Cosa pensano che pubblicando la falla mettono pepe al :ciapet: del produttore o che l'utente comune ci metta una pezza, ma per piacere....

Poi il tuo tentativo di fare esempi con la disabilitazione dei plugin su un browser è ridicola. Se il problema riguarda il kernel che facciamo spegniamo i computer in attesa di un workaround? Spero tu capisca che sono problemi che potrebbero richiedere tempi diversi, anche per un workaround. Questo al di là del problema scritto nella news o di microsoft.
Qui credo che si critichi le politiche di google, ossia quello di trattare le falle in funzione della gravità e non di un presunto tempo di risoluzione: per alcune basta disabilitare un plugin, per altre bisogna farsi un mazzo così.

questo vittimismo di Microsoft e della sua utenza sta diventando parecchio patetico...

Per me al posto di microsoft poteva starci chi vuoi tu, la mia opinione non cambiava ugualmente.

Ma quindi Google rivela TUTTE le falle di Android dopo 7 giorni?

Ma poi non mi spiego come faccia ad essere così veloce nel trovare falle in Windows, mentre quelle di Linux e affini restano per anni lì in bella vista. Cioè, gli ingegneri di Google sono bravissimi solo quando non hanno il codice sorgente sotto gli occhi? :D

Non mi pare una buona idea rilasciare pubblicamente informazioni su una falla soltanto perché potrebbe essere già utilizzata: se la conoscevano già qualcuno, pubblicandola la conosceranno e ne potranno far uso in molti altri. Se non la conosceva nessuno... i malfattori avranno fatto bingo senza alcuno sforzo.

Dunque sono assolutamente contro la politica di rilasciare informazioni pubbliche. Qualunque sia la fonte.

P.S. Agghiacciante. Gli americani non si smentiscono mai... :muro:

Andrew

Tipo che intanto la patch te l'ha già rilasciata... altrimenti tra 90 giorni circa ancora non avevi una patch (come il caso precedente del 2015)

era già previsto un fix nel patch day di ieri, è quello il punto

poi non è che serviva google per dirmi di non usare flash eh...

come per la dirty cow su android, non è che bisogna stare attenti a quali app installare solo perché esiste questa falla (che rimarrà aperta un altro mese almeno, ricordiamocelo, senza manco citare che il 9x% degli android non riceveranno mai un fix probabilmente)

Il problema sembra più nel rilascio dove a quanto pare Google attende prima il rilascio negli OEM, dove Google invia la patch un mese prima in modo che venga rilasciata in contemporanea con i Nexus (e dunque evitare di avvantaggiarsi commercialmente... quanto è cattiva eh?)

davvero molto utile, compro un pixel/nexus perché voglio le patch subito e google attende un mese per non inimicarsi troppo gli OEM (poverini si preoccupano di questo, mica delle sicurezza)

Magari tu no... ma è da mesi che ogni stupidaggine che succede su Microsoft/Windows/Windows Phone si da la colpa a Google
YouTube non si vede? Colpa di Google (ma in realtà la colpa è che l'app non rispettava i termini)
Google "servizio a caso" non si vede? Colpa di Google (ma il problema è l'user agent di un browser che aveva l''1% di market share)
Microsoft.com non si aggiorna? Colpa di Google (Ma bastava elimitare i cookie)
e così via...
Critiche, per la stragrande maggioranza, prive di fondamento
(Ma qui siamo offtopic, quindi non voglio entrare in questo argomento ulteriormente)

A questo punto anche io dovrei dire che Microsoft vuole limitare Linux visto che Outlook.com non si vede bene su Epiphany? (browser presente su Linux usato da pochi, tipo Edge/WP in pratica...)

entrambe dovrebbero controllare le funzionalità che supporta il browser, non l'user agent... ma si sa è più comodo stilare una piccola lista di browser supportati che complicasi la vita... quindi finisce che se un browser ha un user agent diverso dai classici 4 e viene usato da 4 gatti, probabilmente si hanno problemi sia con i servizi google che quelli microsoft
mi ricordo ancora quanti problemi dava la ricerca google su opera

tra l'altro in questo forum non si perde occasione per dare addosso a microsoft (microzozz) e winzozz, a me pare che sia te che stai scadendo nel vittimismo, in confronto google sembra l'ottava meraviglia del mondo

poi puoi stare certo che se google tira fuori un sistema desktop che ha successo, probabilmente non ci terrebbe così tanto a supportare i suoi software su linux, è la classica azienda che usa il concetto di "comunità" solo quando ci guadagna qualcosa, vedo che anche microsoft sta imparando con cose tipo "microsoft <3 linux" e altre scemenze, solo perché ci guadagna con azure

Questo è un altro aspetto della vicenda.
È già la terza volta (che io abbia letto, magari sono di più) che google rende pubblica una falla microsoft qualche giorno prima che venga risolta.
Che caso vero?
Che poco prima del patch day di microsoft google vada a pubblicare in piazza le falle di microsoft.

Cioè è una cosa scema, potrebbero farlo tutti basta prendere il log della patch rilasciata nel circuito insider.
Microsoft non lo fa paerchè sarebbe troppo lunga una nota dove si elencano le falle di android :asd:

Ma che dici? Android è di Google, e Google scrive solo codice ottimo. Ma soprattutto è buona e ama i suoi utenti all'inverosimile. :asd: