Google rivela falla di Windows non ancora corretta. Microsoft risponde infuriata

[GTKM]

Quote:

Originariamente inviato da franz1789

Grazie. Finalmente qualcuno che non rosica e spiega le cose come stanno fornendo fonti.

Forse è meglio sapere queste cose piuttosto che nascondere la testa sotto la sabbia "perché 7 giorni sono pochi". A parte il fatto che stiamo parlando di 7 giorni in cui un gruppo ben nutrito di ingegneri ben retribuiti deve occuparsi di risolvere una falla. Mi rendo conto che è un problema complesso, ma se 10 persone se ne occupano non credo che in 56 ore (8 ore lavorative per 7 giorni) non sia possibile produrre quantomeno un workaround. Altrimenti l'ottavo giorno annunci che c'è una vulnerabilità e si rende necessario fare così, così e così.

Guardate che stiamo parlando di un OS abbastanza complesso, non di un gestionale in Java, o del sito web del paninaro.

Dirty COW, su Linux, per una decina d'anni è rimasto senza fix perché quello che aveva provato ad introdurre Torvalds ai tempi faceva danni altrove.

[roccia1234]

Quote:

Originariamente inviato da Emin001

@Varg87 Ormai manca solo che qualcuno consigli di installare Windows Xp senza service pack, aggiornamenti, antivirus e firewall. A parte gli scherzi la verità credo che stia in mezzo, purtroppo.....

E ce ne sono, fidati che ce ne sono, anche su questo forum!

[Emin001]

Quote:

Originariamente inviato da roccia1234

E ce ne sono, fidati che ce ne sono, anche su questo forum!

e TheZioFede

Io sono uno di questi! Ho una vm con Xp SP3 e null'altro per far girare una copia del Peugeot planet 2000 che di tanto in tanto mi serve per una vecchia peugeot.

Usato quotidianamente come os resta una follia(per me) con win 7 in giro. Mi sta bene usarlo per qualcosa di particolare ma per il resto sta bene dove sta: nel suo supporto di installazione.

[TheZioFede]

ma infatti xp può andare ancora bene per usi specifici OFFLINE, usarlo per navigare quando esistono distro linux specifiche per vecchi pc mi pare una follia, anche perché manco sono disponibili browser aggiornati a parte firefox (che tra poco smetterà di essere aggiornato anch'esso) poi di certo non li fermerò io con questo post

[Emin001]

A chi lo dici, conosco un avvocato(per la Boldrini: avvocatessa/avvocata) che si ostina ad usare xp quotidianamente, compreso ie!! Per fortuna sembra essere pulito ma io ormai vivo con la certezza che prima o dopo prenderà qualche ransomware e saranno uccelli per diabetici per me(lei:"caro, mi devi recuperare i file sul pc!", io: ).

Comunque, ecco xp in vm http://oi65.tinypic.com/dd2tmq.jpg

[cdimauro]

Quote:

Originariamente inviato da andrew04

Rientrando in topic: Per riguarda la falla in questione: è meglio una falla conosciuta e non corretta che una tenuta nascosta e, sempre, non corretta

Nel, prima caso almeno sai da dove può arrivare il pericolo...nel caso specifico, disattivi flash in attesa del fix, al fine di ridurre al minimo il rischio
Nel secondo caso continui a navigare del tutto ignaro del pericolo a cui sei sottoposto

Tra l'altro se vi scomodate ad informarvi prima di commentare , vi rendereste conto che è proprio la politica di google pubblicarlo entro 7 giorni, corretto o meno


https://security.googleblog.com/2013...abilities.html

Lo fa con tutti, anche con se stessa... solo che ovviamente se quando ci sta di mezzo MS ogni occasione è buona per fare vittimismo ed innalzarla a vittima sacrificale del mondo e di tutti i complotti della terra e dell'universo

Ma anche no: il fatto che Google per SUA policy pubblichi le falle dopo 7 giorni NON implica necessariamente che sia una cosa buona e giusta.

[andrew04]

Quote:

Originariamente inviato da cdimauro

Ma anche no: il fatto che Google per SUA policy pubblichi le falle dopo 7 giorni NON implica necessariamente che sia una cosa buona e giusta.

Per carità... questo cambia dai punti di vista, e non mi pare di aver detto che sia il giusto assoluto (personalmente mi trovo d'accordo con il punto di vista di Google)

Ma di certo non lo fa per fare un dispetto a MS , come detto più volte in questo thread...

[TheZioFede]

certo che però potrebbero applicare lo stesso principio ai loro sistemi... mi sembra che sia passato qualche giorno in più dei canonici 7

http://arstechnica.com/security/2016...patch-release/

[andrew04]

Quote:

Originariamente inviato da TheZioFede

certo che però potrebbero applicare lo stesso principio ai loro sistemi... mi sembra che sia passato qualche giorno in più dei canonici 7

http://arstechnica.com/security/2016...patch-release/

Certo che potresti imparare a leggere...

Google NON PRETENDE IL FIX IN 7 GIORNI (per quello possono passare anche 60 giorni), ma solo che la falla VENGA RESA PUBBLICA IN 7 GIORNI

Quote:

Our standing recommendation is that companies should fix critical vulnerabilities within 60 days -- or, if a fix is not possible, they should notify the public about the risk and offer workarounds. We encourage researchers to publish their findings if reported issues will take longer to patch. Based on our experience, however, we believe that more urgent action -- within 7 days -- is appropriate for critical vulnerabilities under active exploitation. The reason for this special designation is that each day an actively exploited vulnerability remains undisclosed to the public and unpatched, more computers will be compromised.

Seven days is an aggressive timeline and may be too short for some vendors to update their products, but it should be enough time to publish advice about possible mitigations, such as temporarily disabling a service, restricting access, or contacting the vendor for more information. As a result, after 7 days have elapsed without a patch or advisory, we will support researchers making details available so that users can take steps to protect themselves. By holding ourselves to the same standard, we hope to improve both the state of web security and the coordination of vulnerability management.

[GTKM]

Quote:

Originariamente inviato da andrew04

Certo che potresti imparare a leggere...

Google NON PRETENDE IL FIX IN 7 GIORNI (per quello possono passare anche 60 giorni), ma solo che la falla VENGA RESA PUBBLICA IN 7 GIORNI

Ma chi è Google per inventarsi regole?

[andrew04]

Quote:

Originariamente inviato da GTKM

Ma chi è Google per inventarsi regole?

Ma infatti NON è una regola imposta che tutti devono seguire assolutamente, ma se scopre¹ una falla , credo sia libera di fare quello che gli pare secondo le SUE politiche a riguardo... e neanche Microsoft gli può dettare regole di tenerla nascosta

¹ perché siete consapevoli che la falla è stata scoperta da Google, vero? Altrimenti starebbe ancora irrisolta ed addirittura non trovata...

[Titanox2]

Quote:

Originariamente inviato da Carlo Pravettoni

Non facevano prima a rivelare cosa funziona a dovere su windows?

in effetti
mi chiedo come non sia in difficoltà un azienda che è imbarazzante in tutti i settori dove è presente

[andrew04]

Quote:

Originariamente inviato da Bivvoz

Solo a me sembra una minchiata rendere pubblica una falla prima che venga fixata?
Se io vedo che il mio vicino ha la serratura rotta lo dico a lui mica lo dico a tutto il condominio se no gli portano via anche le piastrelle di casa, poi una volta che l'ha riparata magari avviso tutto il condominio che c'è qualcuno che le rompe o cose del genere.

Una serratura, che è solo di uno, è completamente diversa da una falla di un sistema che invece coinvolge anche terzi che si ritrovano per certo con una falla aperta, senza aver possibilità di proteggersi, ed addirittura senza sapere di essere esposti a tale falla

Un esempio più adeguato sarebbe un difetto di produzione della serratura: è meglio avvisare solo il produttore, ed aspettare che il produttore risolva il problema e lo comunichi ai cliente (nel frattempo però hanno una serratura che si apre facilmente senza saperlo)... o pubblicare su siti e tg la notizia che tale serratura si apre con tale trucchetto, in modo che i clienti aggiungano un lucchetto aggiuntivo come protezione temporanea?

[andrew04]

Quote:

Originariamente inviato da Bivvoz

Si ma è come avvisate tutti i ladri del mondo come si fa ad aprire quelle serrature.

E come la aprono la porta se ci sta una seconda serratura o lucchetto che hanno messo a seguito dell'avviso pubblico della presenza del difetto della prima?

[TheZioFede]

Quote:

Originariamente inviato da andrew04

Certo che potresti imparare a leggere...

Google NON PRETENDE IL FIX IN 7 GIORNI (per quello possono passare anche 60 giorni), ma solo che la falla VENGA RESA PUBBLICA IN 7 GIORNI

insomma rendiamola subito pubblica, poi rilasciamo la patch quando ci pare

una strategia vincente

[andrew04]

Quote:

Originariamente inviato da TheZioFede

insomma rendiamola subito pubblica, poi rilasciamo la patch quando ci pare

una strategia vincente

Quote:

Originariamente inviato da emiliano84

vaglielo a spiega' a quei geni

Certo, perché se non la comunichi al pubblico i cracker non sanno trovarsela da soli e sfruttarla comunque...

Ma secondo voi no... i cracker aspettano i bollettini CVE per trovare e sfruttare le falle?

[TheZioFede]

ovvio che no, ma dai la possibilità a più persone di sfruttarla, o tutti i cracker hanno un cervello in condivisione?

[andrew04]

Quote:

Originariamente inviato da TheZioFede

ovvio che no, ma dai la possibilità a più persone di sfruttarla, o tutti i cracker hanno un cervello in condivisione?

Ma dai anche la possibilità agli utenti di mettere una pezza temporanea in attesa del fix definitivo...
E se uno ci mette una pezza temporanea, che cosa sfrutti più?

Tra "una falla aperta e non conosciuta all'utente ma a pochi cracker" ed "una falla aperta con fix temporaneo conosciuta a tutti i cracker", qual è più pericolosa?

[andrew04]

Quote:

Originariamente inviato da Bivvoz

E chi ce lo mette il secondo lucchetto il mago Zurlì?

Uno che installa serrature?

Quote:

Alcune persona preparate potrebbero trovare la falla, ma è molto diverso da qualsiasi persona al mondo che ha un minimo di consecenze può sfruttare la falla.

E quale falla sfrutta che è stato fornito un fix temporaneo?

Quote:

Gli utenti?!!??!!
Ahhahahhahaha.
Te sogni.
Seriamente stai dicendo che gli utenti vanno a mettere una pezza temporanea su una falla di windows?
Ma in quale universo parallelo?

Utenti inteso in senso ampio, ho già riportato prima la parte in cui ci sono più soluzioni possibili in seguito alla divulgazione della falla, e ripetere diecimila volte le stesse cose a persone che neanche leggono mi sono stancato... e pare evidente che leggere i post è opzionale per voi

Quote:

Ammesso che qualcuno si metta a farlo e non vedo perchè dovrebbe, come arriva a tutti?
Io dovrei installare una patch temporanea scritta da non so chi, scaricandola da chissà dove?
Rendiamoci conto che sarebbe 100 volte più pericoloso della falla stessa.

Niente, leggere è un optionar ormai....

le soluzioni sono molteplici, e non ho assolutamente detto patch da sconosciuti (tanto per cambiare vi inventate frase mai dette)... ma un workaround DAL PRODUTTORE DEL SOFTWARE STESSO in attesa del fix definitivo è comunque fattibile

Ma anche, ad esempio, disabilitare flash se la falla è in quest'ultimo è fattibile: avete già dimenticato Mozilla che ha disabilitato flash con un update di Firefox perché aveva una falla aperta?
http://www.pcworld.com/article/29481...y-default.html

Come vedi soluzioni temporanee in attesa del fix definitivo ci possono essere... e sono sicuramente più valide che mettere la testa sotto la sabbia ed illudersi che si è più al sicuro se meno persone ne sono a conoscenza

E, comunque, visto che proprio mi obbligate vi rimetto per LA TERZA VOLTA, la citazione dalla policy di google

Quote:

Our standing recommendation is that companies should fix critical vulnerabilities within 60 days -- or, if a fix is not possible, they should notify the public about the risk and offer workarounds. We encourage researchers to publish their findings if reported issues will take longer to patch. Based on our experience, however, we believe that more urgent action -- within 7 days -- is appropriate for critical vulnerabilities under active exploitation. The reason for this special designation is that each day an actively exploited vulnerability remains undisclosed to the public and unpatched, more computers will be compromised.

Seven days is an aggressive timeline and may be too short for some vendors to update their products, but it should be enough time to publish advice about possible mitigations, such as temporarily disabling a service, restricting access, or contacting the vendor for more information. As a result, after 7 days have elapsed without a patch or advisory, we will support researchers making details available so that users can take steps to protect themselves. By holding ourselves to the same standard, we hope to improve both the state of web security and the coordination of vulnerability management.

[andrew04]

Quote:

Originariamente inviato da Bivvoz

Quindi sappiamo che tutte le falle possono essere corrette in un fix entro 7 giorni perchè lo ha detto google.
Puoi copiarlo anche 4 o 5 volte, resta sempre una cosa scritta da google per giustificare quello che ha fatto.

Quasi un'anno fa Google diceva che la sua politica era di rendere pubblica la falla 90 giorni dopo la notifica, adesso le suo regole sono cambiate e come mai?
Ah forse perchè è saltato fuori che edge è più sicuro di chrome la settimana prima?
No sarà un caso sicuramente, che mi viene in mente.

Tanto per sapere:
http://www.optimaitalia.com/blog/201...in-view/183038
http://punto-informatico.it/4225548/...attendere.aspx

Ah poi vogliamo parlare delle criticità corrette in 7 giorni su android?
Quando si dice guardare la pagliuzza altrui ignorando la propria trave.

Quindi sappiamo tutti, che dopo 3 volte che posto una cosa, ed ancora non l'hai capita... hai problemi a comprendere il testo, quantomeno quello in inglese
dove sta scritto chiaramente, per parola di Google che può essere difficile correggere una falla in 7 giorni, ma non fornire un workaround temporaneo

Quarta volta, più ristretto, magari riesci a comprendere

Quote:

Seven days is an aggressive timeline and may be too short for some vendors to update their products, but it should be enough time to publish advice about possible mitigations, such as temporarily disabling a service, restricting access, or contacting the vendor for more information.

Puoi farcela su....