Google scova e rivela falla in Microsoft Edge

[nickname88]

Quote:

Originariamente inviato da Phoenix Fire

così comunque non è corretto se MS ci mette un anno a risolvere il problema? Possiamo dire che 90 giorni sia troppo o poco, ma serve una scadenza. Così chi comunque segue queste cose, può decidere di "correre ai ripari", in questo caso magari usa momentaneamente un altro browser

Abbiamo convissuto con Meltown e Spectre per 10 anni senza saperlo e se si stavan zitti magari chissà a quanto sarebbe risalito il primo attacco.

Al massimo fissi un limite di preavviso ok, però non la butti lì così dall'oggi al domani.

[Phoenix Fire]

Quote:

Originariamente inviato da nickname88

Abbiamo convissuto con Meltown e Spectre per 10 anni senza saperlo e se si stavan zitti magari chissà a quanto sarebbe risalito il primo attacco.

Al massimo fissi un limite di preavviso ok, però non la butti lì così dall'oggi al domani.

qua mi sa che ti sei dimenticato che tu non sai quanti danni hanno fatto queste vulnerabilità in questi 10 anni e nessuno potrà mai saperlo

[s-y]

beh, tutti i 'pesci grossi' potrebbero mettere su un team dedicato a beccare le vulnerabilità, le risorse le avrebbero. magari anche solo quelle degli altri, perchè no? sarebbe un modo parallelo/alternativo di farsi concorrenza, sarebbe più meritocratico, e ci guadagneremmo tutti

[calabar]

Quote:

Originariamente inviato da nickname88;

Per salvaguardare gli utenti, Google avrebbe dovuto riferire prima a MS, dare a quest'ultima il tempo per realizzare il fix approfittando del momento in cui il bug non è noto, per poi riferire in accordo con MS di averlo scoperto lei e prendersi il merito e eventualmente pure compensi.

Ciò di cui non stai tenendo conto è che quella vulnerabilità del software potrebbe essere già nota a malintenzionati che magari già la stanno sfruttando da tempo.
Occorre quindi chiudere la falla il prima possibile, e se renderla nota può aiutare in questo ben venga.

Per salvaguardare gli utenti, Microsoft avrebbe dovuto, viste le difficoltà, far uscire un aggiornamento temporaneo per bloccare la vulnerabilità anche a costo di rimuovere temporaneamente qualche funzionalità o compromettere le prestazioni.
A quel punto avrebbe potuto lavorare con più calma sul problema.

[TheZioFede]

Quote:

Originariamente inviato da s-y

beh, tutti i 'pesci grossi' potrebbero mettere su un team dedicato a beccare le vulnerabilità, le risorse le avrebbero. magari anche solo quelle degli altri, perchè no? sarebbe un modo parallelo/alternativo di farsi concorrenza, sarebbe più meritocratico, e ci guadagneremmo tutti

Quello che pensavo anche io in effetti, anche perché con android ms avrebbe anche il vantaggio che la maggior parte delle vulnerabilità rimarrebbe scoperta visto la gestione penosa degli aggiornamenti... chissà magari scuoterebbe un po' le cose.

[TheZioFede]

Quote:

Originariamente inviato da calabar

Ciò di cui non stai tenendo conto è che quella vulnerabilità del software potrebbe essere già nota a malintenzionati che magari già la stanno sfruttando da tempo.
Occorre quindi chiudere la falla il prima possibile, e se renderla nota può aiutare in questo ben venga.

Per salvaguardare gli utenti, Microsoft avrebbe dovuto, viste le difficoltà, far uscire un aggiornamento temporaneo per bloccare la vulnerabilità anche a costo di rimuovere temporaneamente qualche funzionalità o compromettere le prestazioni.
A quel punto avrebbe potuto lavorare con più calma sul problema.

Non mi pare che nessuno faccia così però, prendi anche le release di firefox, ogni versione tappano parecchie falle di sicurezza, dovrebbero rilasciare una point release ogni 2 giorni?

Comunque credo che il problema principale è che Edge è tropo integrato in Windows che probabilmente richiede esso stesso qualche modifica per queste patch.

[FedNat]

Quote:

Originariamente inviato da nickname88

Per salvaguardare gli utenti, Google avrebbe dovuto riferire prima a MS, dare a quest'ultima il tempo per realizzare il fix approfittando del momento in cui il bug non è noto, per poi riferire in accordo con MS di averlo scoperto lei e prendersi il merito e eventualmente pure compensi.

Così invece è solamente a scopo di dispetto.

Questo aspetto dovrebbe essere regolato da leggi da qualche organo al fine di salvaguardare gli utenti.

Ma di cosa ti lamenti se Google ha già fatto quello che tu chiedi:
1) Dopo la scoperta della vulnerabilità ha avvisto MS dando il tempo di correggere il problema
2) Dopo la scadenza prevista di 90 giorni ha accordato a MS un'ulteriore proroga di 14 giorni.

E non venirmi a dire: "Eh ma la patch è prevista per martedì, potevano aspettare". Hanno già avuto una proroga e le scadenze devono avere un senso altrimenti con il giochino "La patch esce la settimana prossima" si ritarda il tutto all'infinito

[nickname88]

Quote:

Originariamente inviato da calabar

Ciò di cui non stai tenendo conto è che quella vulnerabilità del software potrebbe essere già nota a malintenzionati che magari già la stanno sfruttando da tempo.
Occorre quindi chiudere la falla il prima possibile, e se renderla nota può aiutare in questo ben venga.

L'unica che può risolvere è MS. Quindi la prima che devi avvisa è proprio questa.

Rendere pubblica la cosa serve solo a mettere in guardia i malintenzionati, mentre la quasi totalità dell'utenza non sarà di certo messa al corrente ( non mi pare che certe cose venga fuori sul Corriere o trasmesse sui TG ). Se poi ciò è stato già fatto da Google come non detto.

Cosa pensi che rendendo il tutto noto in questo modo l'utente medio oltre ad entrarne a conoscenza smetta di usare Edge o prenda provvedimenti in autonomia ?

[FedNat]

Quote:

Originariamente inviato da emiliano84

e' la prima volta che leggo di una proroga, fonte?

La fonte è la news stessa:

Quote:

Originariamente inviato da News di HWUpgrade

Google ha riconosciuto a Microsoft periodo di 90 giorni per risolvere il problema, e ha concesso un'estensione di 14 giorni sulla scadenza poiché la risoluzione del problema è risultata essere più complicata del previsto. Google ha reso pubblica la falla perché Microsoft non è riuscita a rispettare neanche questa deadline

[calabar]

Quote:

Originariamente inviato da TheZioFede;

Non mi pare che nessuno faccia così però, prendi anche le release di firefox, ogni versione tappano parecchie falle di sicurezza, dovrebbero rilasciare una point release ogni 2 giorni?

Con Firefox, quando la vulnerabilità è rilevante, le patch escono subito, anche pochissimo tempo dopo aver rilasciato una precedente versione.
Qui si parla di tre mesi, quindi di tempistiche molto più ampie.

Quote:

Originariamente inviato da nickname88;

Se poi ciò è stato già fatto da Google come non detto.

Io non dico di dover essere super informati, ma almeno sapere di cosa si sta discutendo...
Google ha ovviamente informato per prima Microsoft, ma dopo tre mesi la politica è rendere pubblica la falla (per i motivi suddetti). È stata inoltre concessa un'ulteriore proroga di due settimane, ma visto che si è continuato a rimandare alla fine è stata resa pubblica.