Grave falla di Windows corretta ad oltre un anno dalla sua diffusione

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...one_56015.html

Microsoft ha rilasciato una patch di sicurezza per rendere immuni i sistemi da Jasbug, grave falla di sistema risalente al gennaio 2014 che permette l'esecuzione di codice da remoto su Windows

Click sul link per visualizzare la notizia.

[Eress]

Meglio tardi che mai!

[Pier2204]

Quote:

Originariamente inviato da Eress

Meglio tardi che mai!

Daccordo ma...

Il gigante di Redmond ha impiegato circa 13 mesi per effettuare la correzione, nello specifico perché coinvolgeva parti cruciali del codice di Windows e non si trattava esclusivamente di un problema di implementazione.

Probabile visto che MS rilascia le patch di sicurezza a cadenza mensile e quando è grave anche prima.

[camillo967]

Ma esiste WINDOWS SERVER 2013 ? Magari esiste Exchange 2013 o windows server 2012 R2.

[Zifnab]

Quote:

Originariamente inviato da camillo967

Ma esiste WINDOWS SERVER 2013 ? Magari esiste Exchange 2013 o windows server 2012 R2.

Probabilmente si riferiva a Windows Server 2003. Anche perchè danno supporto alla versione 2008 e non a quella 2013? Sarebbe da ridere

[camillo967]

Lo so infatti la mia domanda era ironica!!

[Pier2204]

Quote:

Originariamente inviato da pulsar68

Probabile anche che MS, come da accordi, abbia comunicato la grave falla alla NSA in attesa del loro OK per il fix (dopo averla sfruttata a dovere).

Non per difendere MS, ma credo che se volessero fare un accordo del genere basta creare una Backdoor che non sia una falla per eseguire codice da remoto. A meno che la falla sia intenzionalmente voluta, ma qui siamo nel campo delle illazioni.

[battilei]

Quote:

Originariamente inviato da pulsar68

Fa parte degli accordi seguiti al Patriot Act.
Una backdoor avrebbe potuto provocare una protesta globale da parte degli utenti ed una serie di azioni legali contro la MS stessa.

MS, ma anche altre software house, comunicano sistematicamente alla NSA le falle che via via vengono scoperte.

Purtroppo la realtà va ben oltre l'immaginazione.

dunque correggono le falle solo dopo che sono state scoperte anche da altri servizi/società di sicurezza ecc ? complimenti

PS: complimenti a MS anche per il mancato supporto a Server 2003, che gode ancora del supporto. D'altra parte come dice un famoso antico proverbio... "colui che usa windows sui server è causa del suo male"

[palleggiatore]

commenti che accuseranno pulsar68 di complottismo in 3... 2... 1...

[Pier2204]

Quote:

Originariamente inviato da pulsar68

Fa parte degli accordi seguiti al Patriot Act.
Una backdoor avrebbe potuto provocare una protesta globale da parte degli utenti ed una serie di azioni legali contro la MS stessa.

MS, ma anche altre software house, comunicano sistematicamente alla NSA le falle che via via vengono scoperte.

Purtroppo la realtà va ben oltre l'immaginazione.

PS Il primo link che mi è capitato facendo una semplice ricerca online http://www.downloadblog.it/post/5604...ma-delle-patch

Se quello che dici è vero allora qui non si tratta di accordo, ma di legge di stato contenuta nel Patriot Act, a cui nessuna software House si può sottrarre.
In sostanza, se Microsoft o Apple o Google o Oracle o chi vuoi non accettano di sottostare al patriot act che succede?

[battilei]

Quote:

Originariamente inviato da Pier2204

Se quello che dici è vero allora qui non si tratta di accordo, ma di legge di stato contenuta nel Patriot Act, a cui nessuna software House si può sottrarre.
In sostanza, se Microsoft o Apple o Google o Oracle o chi vuoi non accettano di sottostare al patriot act che succede?

Ci sarà un premio, come minimo gli esportatori di democrazia ti mandano alla famosa "Guantanamo software house" ?



Marissa Mayer: 'It's Treason' For Yahoo To Disobey The NSA
"Releasing classified information is treason. It generally lands you incarcerated," she said, clearly uncomfortable with the turn of the conversation.
http://www.businessinsider.com/maris...sa-2013-9?IR=T

[Eress]

Quote:

Originariamente inviato da pulsar68

Più che "esportare democrazia", quello che san fare meglio è esportare (vendere) armi, dato che è l'industria principale statunitense

Esportatori di guerra certamente, ma anche di dittature sanguinarie, vedi sud america, di corruzione di valori sani e di costumi.

[Riccardo82]

Per piacere correggete :

Microsoft non ha rilasciato, né lo farà mai, un fix per Windows Server 2013, versione il cui supporto cesserà definitivamente fra pochi mesi.


con:

Microsoft non rilascerà un fix per Windows Server 2003, il cui supporto cesserà definitivamente fra pochi mesi.


grazie

[bobafetthotmail]

Quote:

Originariamente inviato da pulsar68

Io non so scrivere codice ma se penso che in 1 anno riescono a sviluppare quasi un SO stento a credere che ci siano voluti ben 13 mesi per trovare un fix

Creare da zero o comunque aggiungere al preesistente senza fare grosse modifiche è ed è sempre stato MOLTO più facile che cercare di correggere errori in ciò che esiste già, specialmente se erano cose complesse.
Vale in tutto.

Se effettivamente era un problema rognoso ci sta che ci abbiano messo un anno, perchè non devono solo fare un fix, ma devono intanto capire quali parti di codice causano il problema e poi devono fare un fix che non incasini altri programmi nè che introduca altri bug.
Il grosso del tempo lo perdono a fare dei test per cercare di cogliere un bug sul fatto.

Quote:

Fa parte degli accordi seguiti al Patriot Act.
Una backdoor avrebbe potuto provocare una protesta globale da parte degli utenti ed una serie di azioni legali contro la MS stessa.

MS, ma anche altre software house, comunicano sistematicamente alla NSA le falle che via via vengono scoperte.

Calma, le falle di sicurezza che MS e altre software house vanno a patchare sono solo le falle di pubblico dominio, per ovvie ragioni economiche. (più magari delle cose che scoprono per i fatti loro ma è una minoranza)

Quando sono di pubblico dominio NSA e altri servizi segreti le sfruttano, e non c'è niente di particolarmente scandaloso.

Poi abbiamo naturalmente i casi in cui NSA e altri sono stati beccati a sapere e sfruttare bug senza che nessuno li avesse resi pubblici.
Ma questo avviene principalmente perchè sono molto attivi nel cercare di craccare tutto il craccabile per ottenere informazioni. Hanno divisioni di hacker pagati per fare ciò, e non è un segreto.

Non è che MS o altri li informino perchè ci sono patti segreti o chissà cosa. MS o altri non sanno neanche che ci sono dei bug se nessun analista o hacker rende pubbliche le sue scoperte.

Magari era meglio credere che ci fosse un complotto, ma la realtà è semplicemente che a MS e ad altri tira il agire se non farlo non porta conseguenze particolari.

C'è un motivo se la Cina dal 2001 usa un Linux custom come sistema operativo dei computer e sistemi informatici statali. Dato che hanno sotto mano il codice sorgente possono farsi i debug e sistemare i problemi senza dover dipendere da terze parti a cui alla fine importa solo di non fare figuracce.

Quote:

Marissa Mayer: 'It's Treason' For Yahoo To Disobey The NSA
"Releasing classified information is treason. It generally lands you incarcerated," she said, clearly uncomfortable with the turn of the conversation.
http://www.businessinsider.com/maris...sa-2013-9?IR=T

Qui è un caso di NSA che chiede ad azienda X di dargli dati su persone americane, e anche nell'articolo dicono che l'azienda si può rifiutare di fornirli se non ci sono certe condizioni.

E ovviamente dice che parlare di chi, come e quando la cosa è avvenuta sarebbe rilasciare informazioni riservate, perchè effettivamente lo è.

[battilei]

Quote:

Originariamente inviato da bobafetthotmail

Non è che MS o altri li informino perchè ci sono patti segreti o chissà cosa. MS o altri non sanno neanche che ci sono dei bug se nessun analista o hacker rende pubbliche le sue scoperte.

e invece sì

U.S. Agencies Said to Swap Data With Thousands of Firms
June 15 (Bloomberg) -- Thousands of technology, finance and manufacturing companies are working closely with U.S. national security agencies, providing sensitive information and in return receiving benefits that include access to classified intelligence, four people familiar with the process said.

Microsoft Bugs
Microsoft Corp., the world’s largest software company, provides intelligence agencies with information about bugs in its popular software before it publicly releases a fix, according to two people familiar with the process.

http://www.bloomberg.com/news/articl...sands-of-firms

[bobafetthotmail]

Quote:

Originariamente inviato da battilei

e invece sì

E invece no.
L'articolo dice che quando viene trovato un bug MS deve fornire tutti i dettagli al governo americano (che usa appunto sistemi MS) prima che venga pubblicata una patch perchè così possono avviare misure di controllo danni per evitare che i loro stessi sistemi vengano bucati sfruttando tali vulnerabilità (va da sè che poi i servizi segreti sfruttano l'occasione, ma il motivo principale è inattaccabile).

Frank Shaw, a spokesman for Microsoft, said those releases occur in cooperation with multiple agencies and are designed to give government “an early start” on risk assessment and mitigation.

Non parla minimamente di gomblotti dove MS conosce magicamente dei bug sconosciuti al mondo, li tiene segreti perchè è cattiva e fornisce queste info a terze parti perchè sono più cattive di lei.

Il grosso del casino sono i dati personali degli utenti che vengono forniti a cani e gatti del governo usa a richiesta, non MS o altri che danno informazioni su bug che sono già pubblici.

[WarDuck]

Con tutti i DB di exploit che esistono, figurati se l'NSA o chi per lei si fanno tanti problemi.

Nota bene: qualsiasi sia il SO, vogliamo citare il caso di OpenSSL?

[battilei]

Quote:

Originariamente inviato da bobafetthotmail

Non parla minimamente di gomblotti dove MS conosce magicamente dei bug sconosciuti al mondo, li tiene segreti perchè è cattiva e fornisce queste info a terze parti perchè sono più cattive di lei.

sì, ne parla proprio nella riga sopra

this type of early alert allowed the U.S. to exploit vulnerabilities in software sold to foreign governments, according to two U.S. officials. Microsoft doesn’t ask and can’t be told how the government uses such tip-offs, said the officials, who asked not to be identified because the matter is confidential.

L'articolo è di 2 anni fa, lo prevede la legge americana, ogni azienda USA deve rispettarla dalla Apple alla REDHAT, ne parla tutto il mondo informatico da ormai due anni, su Arstechnica c'è un articolo un giorno sì e uno no... poi se ti fa piacere ripetere le parole "gomblotto" buon divertimento

[GTKM]

Non dimentichiamo che il Patriot Act prevede che certe agenzie federali possano aver accesso ai dati che ritengono necessari, senza un mandato del giudice.
Questo è valido per qualsiasi attività con sede sul suolo USA.

Detto ciò, sono abbastanza sicuro che le multinazionali del settore abbiano accordi segreti con il Governo, non credo che aprano i loro database senza avere nulla in cambio.

[bobafetthotmail]

Quote:

Originariamente inviato da battilei

sì, ne parla proprio nella riga sopra

this type of early alert allowed the U.S. to exploit vulnerabilities in software sold to foreign governments, according to two U.S. officials.

Ah sì, e dove dice che questi bug erano sconosciuti al mondo?

No perchè dare info su bug conosciuti è un conto, dare info su bug tenuti segreti è un'altra questione e sarebbe un caso di gomblotto.

è questo il punto che sto cercando di far passare.