Google rivela falla di Windows non ancora corretta. Microsoft risponde infuriata

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...ata_65457.html

Un team di ricercatori di sicurezza di Google ha rivelato una falla su svariate versioni di Windows non ancora corretta. Microsoft ha già provveduto a fornire una risposta ai propri clienti, non del tutto contenta dal comportamento di Big G

Click sul link per visualizzare la notizia.

[s-y]

uno che fa la spia, l'altro che pretende omerta'

in ogni caso imho piu' semplicemente dovrebbero rivedere la policy per queste casistiche

[lucusta]

no, uno che si dà la zappa sui piedi (sfrutta una falla sui vecchi chrome) e l'altro che sfrutta il tutto (senza rossore) per dire che il suo e' piu' lungo...
di mezzo tanta gente che non sà nemmeo che sta succedendo.

... hai perfettamente colto il sunto, Bivvoz.

[s-y]

cmq sia, secondo me e' un bene che escano certe cose (a prescindere dal comico duo in oggetto, che in effetti...)

[21-5-73]

Quote:

Originariamente inviato da lucusta

no, uno che si dà la zappa sui piedi (sfrutta una falla sui vecchi chrome) e l'altro che sfrutta il tutto (senza rossore) per dire che il suo e' piu' lungo...
di mezzo tanta gente che non sà nemmeo che sta succedendo.

... hai perfettamente colto il sunto, Bivvoz.

Cosa c'entra Chrome?

[Carlo Pravettoni]

Non facevano prima a rivelare cosa funziona a dovere su windows?

[matrix83]

Certo che sono proprio degli strontium

[Varg87]

Oh, ma disabilitateli gli aggiornamenti, eh! Mi raccomando!
Tanto non servono a niente, solo ad incasinare i pc funzionanti.

[jeremy.83]

Quote:

Originariamente inviato da s-y

uno che fa la spia, l'altro che pretende omerta'

in ogni caso imho piu' semplicemente dovrebbero rivedere la policy per queste casistiche

Concordo, 10 giorni sono pochi per sistemare bachi di questo tipo, rischi di crearne altri ben più pesanti.

Certo che comunque Microsoft non ha risposto benissimo, cioè se i nostri ci dicessero all'ultimo che siamo tutti in pericolo di vita non mi farebbe certo piacere (anche se forse già lo fanno...)

Che si mettano d'accordo, sembra di vedere 2 bambini che litigano

[Emin001]

Non per difendere microsoft ma 7 giorni mi sembrano oggettivamente pochi.


@Varg87 Ormai manca solo che qualcuno consigli di installare Windows Xp senza service pack, aggiornamenti, antivirus e firewall. A parte gli scherzi la verità credo che stia in mezzo, purtroppo.....

[cignox1]

Qui sto con Microsoft. Patchare quel tipo di codice potrebbe non essere semplicissimo. Devi trovare le risorse, riprodurre il problema, investigare la causa, decidere come risolverlo senza fare danni maggiori (una funzionalitá nel kernel é una cosa delicata da toccare), testarla MOOOOLTO bene e prepararla per la pubblicazione con il prossimo aggiornamento.

Tutto questo in 7 giorni? Naaa, vorrei vedere google nella stessa situazione...

[TheZioFede]

Quote:

Originariamente inviato da Emin001

Non per difendere microsoft ma 7 giorni mi sembrano oggettivamente pochi.


@Varg87 Ormai manca solo che qualcuno consigli di installare Windows Xp senza service pack, aggiornamenti, antivirus e firewall. A parte gli scherzi la verità credo che stia in mezzo, purtroppo.....

beh allora non ti consiglio di andare nella sezione di windows xp di questo forum...

Quote:

Originariamente inviato da cignox1

Qui sto con Microsoft. Patchare quel tipo di codice potrebbe non essere semplicissimo. Devi trovare le risorse, riprodurre il problema, investigare la causa, decidere come risolverlo senza fare danni maggiori (una funzionalitá nel kernel é una cosa delicata da toccare), testarla MOOOOLTO bene e prepararla per la pubblicazione con il prossimo aggiornamento.

Tutto questo in 7 giorni? Naaa, vorrei vedere google nella stessa situazione...

infatti, credo che patchare richieda un po' più lavoro che un browser o un SO mobile (che poi in questo caso Google è l'ultima che può parlare)

tra l'altro mi pare che l'AU di win10 sia immune da questo exploit

[fano]

Soprattutto se contiamo che Linux ha un bug enorme da 9 (NOVE) anni nel kernel e se ne sono sempre fregati e la Microsoft deve risolvere tutto in una settimana se no Google lo fa sapere a tutti? Ma cos'è un ricatto ?

[s-y]

vabbe' pero' se si fa a "anche tu-u, anche tu-u", non si finisce piu', oltre che fare (come thread, diciamo) non una miglior figura rispetto ai due simpatici battibeccanti in oggetto

[Il Picchio]

7 giorni? Google doveva aspettare 5 minuti e poi sbandierare tutto all'aria. Mah.
Tutti bravi a guardare a casa degli altri poi quando c'è schifo nel proprio di os e nel proprio store ci si muove con la stessa velocità di una lumaca morta.

Se si aggiorna si aggiorna troppo, se non si aggiorna subito ci si mette troppo, se si è tempestivi bisognava fare più beta testing, se non si è tempestivi a microzozz non frega niente dell'utente. Mah x2.

[TheZioFede]

boh, se microsoft ha davvero pronta una patch per il prossimo martedì in questo caso secondo me google è in torto e basta, hanno solo aiutato chi voleva usare l'exploit in mala fede, e hanno sfruttato la situazione solo per tessere le lodi di chrome quando anche edge su AU sembra immune

[Il Picchio]

Quando chrome non esce bene dagli ultimi test sulla sicurezza e cogli la palla al balzo per spalare m*rda sulla concorrenza

[andrew04]

Quote:

Originariamente inviato da fano

Soprattutto se contiamo che Linux ha un bug enorme da 9 (NOVE) anni nel kernel e se ne sono sempre fregati e la Microsoft deve risolvere tutto in una settimana se no Google lo fa sapere a tutti? Ma cos'è un ricatto ?

AVEVA, adesso è stato corretto...

E NON è assolutamente vero che se ne sono sempre fregati, il fix arrivò direttamente da Torvalds in persona, ma successivamente dovettero rimuoverlo perché generava altri problemi

https://lkml.org/lkml/2016/10/19/860

Quote:

This is an ancient bug that was actually attempted to be fixed once (badly) by me eleven years ago in commit 4ceb5db9757a ("Fix get_user_pages() race for write access") but that was then undone due to problems on s390 by commit f33ea7f404e5 ("fix get_user_pages bug").

In the meantime, the s390 situation has long been fixed, and we can now fix it by checking the pte_dirty() bit properly (and do it better). The s390 dirty bit was implemented in abf09bed3cce ("s390/mm: implement software dirty bits") which made it into v3.9. Earlier kernels will have to look at the page state itself.

Also, the VM has become more scalable, and what used a purely theoretical race back then has become easier to trigger.

To fix it, we introduce a new internal FOLL_COW flag to mark the "yes, we already did a COW" rather than play racy games with FOLL_WRITE that is very fundamental, and then use the pte dirty flag to validate that the FOLL_COW flag is still valid.

https://git.kernel.org/cgit/linux/ke...76bd42aa4df0d6
https://git.kernel.org/cgit/linux/ke...7a4d17da6558d7
https://git.kernel.org/cgit/linux/ke...c2ada6cee90d4a
https://git.kernel.org/cgit/linux/ke...dbc7d67ed8e619


E per quanto sia critico, è meno grave di quanto è stato sbandierato essendo una falla che funziona solo da locale e non da remoto

Quote:

Therefore, any mitigation for the “Dirty COW” and other privilege escalation bugs should really be considered a part of a comprehensive defense-in-depth strategy that would work to keep attackers as far away as possible from being able to execute arbitrary code on your systems. Before they even get close to the kernel stack, the attackers should have to first defeat your network firewalls, your intrusion prevention systems, your web filters, and the RBAC protections around your daemons.

Taken altogether, these technologies will provide your systems with a great deal of herd immunity to ensure that no single exploit like the “Dirty COW” can bring your whole infrastructure to its tipping point.

https://www.linux.com/blog/how-bad-dirty-cow

(Nota a margine:Google e Chromium rientrano tra quelli coinvolti risoluzione del bug fix)

Comunque il colmo in questo thread: si difende MS perché doveva aspettare per rilasciare un fix che non generasse problemi, e si attacca Linux perché ha aspettato per rilasciare un fix che non generasse altri problemi

Siete irrecuperabili... coerenza zero


Rientrando in topic: Per riguarda la falla in questione: è meglio una falla conosciuta e non corretta che una tenuta nascosta e, sempre, non corretta

Nel, prima caso almeno sai da dove può arrivare il pericolo...nel caso specifico, disattivi flash in attesa del fix, al fine di ridurre al minimo il rischio
Nel secondo caso continui a navigare del tutto ignaro del pericolo a cui sei sottoposto

Tra l'altro se vi scomodate ad informarvi prima di commentare , vi rendereste conto che è proprio la politica di google pubblicarlo entro 7 giorni, corretto o meno

Quote:

Our standing recommendation is that companies should fix critical vulnerabilities within 60 days -- or, if a fix is not possible, they should notify the public about the risk and offer workarounds. We encourage researchers to publish their findings if reported issues will take longer to patch. Based on our experience, however, we believe that more urgent action -- within 7 days -- is appropriate for critical vulnerabilities under active exploitation. The reason for this special designation is that each day an actively exploited vulnerability remains undisclosed to the public and unpatched, more computers will be compromised.

Seven days is an aggressive timeline and may be too short for some vendors to update their products, but it should be enough time to publish advice about possible mitigations, such as temporarily disabling a service, restricting access, or contacting the vendor for more information. As a result, after 7 days have elapsed without a patch or advisory, we will support researchers making details available so that users can take steps to protect themselves. By holding ourselves to the same standard, we hope to improve both the state of web security and the coordination of vulnerability management.

https://security.googleblog.com/2013...abilities.html

Lo fa con tutti, anche con se stessa... solo che ovviamente se quando ci sta di mezzo MS ogni occasione è buona per fare vittimismo ed innalzarla a vittima sacrificale del mondo e di tutti i complotti della terra e dell'universo

[s-y]

in ogni caso non escluderei che questo tipo di schermaglie (o meglio, la diffusione dei botta-e-risposta come headlines) possa far parte di una guerra, che potrebbe in futuro diventare piu' evidente. cmq vedremo...

[franz1789]

Quote:

Originariamente inviato da andrew04

Lo fa con tutti, anche con se stessa... solo che ovviamente se quando ci sta di mezzo MS ogni occasione è buona per fare vittimismo ed innalzarla a vittima sacrificale del mondo e di tutti i complotti della terra e dell'universo

Grazie. Finalmente qualcuno che non rosica e spiega le cose come stanno fornendo fonti.

Forse è meglio sapere queste cose piuttosto che nascondere la testa sotto la sabbia "perché 7 giorni sono pochi". A parte il fatto che stiamo parlando di 7 giorni in cui un gruppo ben nutrito di ingegneri ben retribuiti deve occuparsi di risolvere una falla. Mi rendo conto che è un problema complesso, ma se 10 persone se ne occupano non credo che in 56 ore (8 ore lavorative per 7 giorni) non sia possibile produrre quantomeno un workaround. Altrimenti l'ottavo giorno annunci che c'è una vulnerabilità e si rende necessario fare così, così e così.