Google scova e rivela falla in Microsoft Edge

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...dge_74308.html

L'azienda di Mountain View l'ha comunicata privatamente a Microsoft lo scorso novembre. La società di Redmond la risolverà con il Patch Tuesday di marzo

Click sul link per visualizzare la notizia.

[Phoenix Fire]

mah, non sono sicuro della correttezza dell'atteggiamento di google, ok che dai 90 giorni, ok l'estensione, ma se ti dicono che la pubblicano a marzo, potevi estendere altri 15 giorni in modo da non rendere nota una vulnerabilità 15 giorni prima del patching

[Averell]

la tua è la versione gentile della riflessione mentre la mia suonava + o - cosi',

Quote:

con che coraggio si mettono in chiaro vulnerabilità di questa natura prima che [...], per agevolare gruppi criminali che sanno come utilizzare le informazioni fornite mettendole a reddito?

(da →)

MSRC che ieri, peraltro, ha precisato di non essere certa neppure del Marzo,

Quote:

MSRC reached out to me to to clarify that, because of the complexity of the fix, they do not yet have a fixed date set as of yet.

Quindi grazie davvero (Google) per adottare un modello etico responsabile, i consumatori MS te ne saranno grati (spero anzi che i loro trucchi siano usati contro i loro sistemi)

[Averell]

ah, e per la redazione:
svegliatevi, avete fatto l'articolo con 3 giorni di ritardo (cioè oggi) e durante il copia/incolla non avete riportato neppure l'osservazione di cui sopra sullo slittamento causa complessità del fix!

[The FoX]

Ve la prendete con Google perché ha reso pubblica una falla dopo ben 90 giorni quando con tutta probabilità c'è gente che la conosceva anche prima di BigG?
Piuttosto prendetevela con MS che in 3 mesi non è stata capace, nonostante le sue risorse, di chiuderla.
PS: vi ricordo che Skype è strabucato ma MS ha detto chiaro che al momento non rilascerà nessuna patch visto che le toccherebbe riscrivere tutto il codice...

[Eress]

Piuttosto che prendersela con Google, ci sarebbe da capire tutte queste falle oceaniche dei prodotti MS a chi siano imputabili e soprattutto la loro filosofia di azione in caso di falle, leggere la mia firma please Sarà mica colpa di Google alla fine

[Averell]

Quote:

Originariamente inviato da The FoX

Ve la prendete con Google..

per forza finisce in caciara, guarda il commento sopra (malafede, poi? Ci mettiamo altro nel calderone?)

PS: è arrivato lo scienziato! (riferito ad un altro..)

[canislupus]

Quindi fatemi capire... scopro un bug e lo dovrei tenere nascosto quanto tempo?
E se MS (ma chiunque altro) ci mettesse 10 anni? Dovrei evitare di divulgarlo con il rischio che altri lo possano evidenziare e magari farne un uso anche illecito?
Non è nascondendo i problemi sotto la sabbia che questi si risolveranno magicamente da soli.
Quello che è successo con Sprectre/Meltdown dovrebbe far capire come sia FONDAMENTALE a volte arrivare anche a queste forme di "ricatto" per incentivare le società a darsi da fare.
Lo sviluppo ha un costo e qualsiasi società pur di evitarsi una seccatura preferirebbe lasciare tutto un colabrodo finchè qualcuno con buone (o cattive) intenzioni si decida a diffondere il problema.

[Averell]

va bene saluti


Tanto siete su XP e 7, questa vulnerabilità a voi non tocca dai

[robbybby]

@TheFox: in realtà Microsoft non ha detto che non intedne correggere i bug di Skype perché occorrerebbe riscrivere tutto il codice: è stata fraintesa dallo scopritore del bug.
Microsoft ha detto che "sarebbe stato necessario un riesame approfondito del software".
Comunque, la vulnerabilità è presente in Skype per Windows solo fino alla versione 7.40. Nella versione 8, rilasciata a ottobre scorso, la falla non c’è più, come ha spiegato Microsoft.

[tallines]

Non ho capito tutto questo allarmismo..........

"La gravità di questa vulnerabilità è considerata di livello medio ed è stata comunicata a Microsoft nel mese di novembre 2017. "

Ma poi quanti utenti usano Edge ?........

Comunque adesso la Microsoft, lo sa e risolverà il problema .

[Lampetto]

Quote:

Originariamente inviato da The FoX

Ve la prendete con Google perché ha reso pubblica una falla dopo ben 90 giorni quando con tutta probabilità c'è gente che la conosceva anche prima di BigG?
Piuttosto prendetevela con MS che in 3 mesi non è stata capace, nonostante le sue risorse, di chiuderla.
PS: vi ricordo che Skype è strabucato ma MS ha detto chiaro che al momento non rilascerà nessuna patch visto che le toccherebbe riscrivere tutto il codice...

Un vivo ringraziamento a Google e al suo Project Zero per scoprire le falle di Microsoft, stranamente tale team non scopre mai le proprie falle

https://android.hdblog.it/2018/01/10...ermata-sblocc/

[Averell]

il problema qui non è chi lo ha più lungo nè mi sembra di aver colto allarmismi a dispetto di ha tirato in ballo questo discorso, cmq se le diano tra di loro (MS VS ecc), a me francamente interessa 0 anche perchè non modifico certo io le loro politiche/la loro etica.

Altri hanno tirato in ballo 10 anni di silenzi etc:
mai una volta che si colga il buono e si accetti che la soluzione di certi problemi possa realmente rappresentare una sfida, mai...

Partiamo sempre dalla malafede degli altri che va bene, mi sembra in effetti un approccio costruttivo

[Eress]

Quote:

Originariamente inviato da tallines

Comunque adesso la Microsoft, lo sa e risolverà il problema .

Certamente, quando i cammelli passeranno nelle crune degli aghi

[Lampetto]

Quote:

Originariamente inviato da Eress

Certamente, quando i cammelli passeranno nelle crune degli aghi

Se avessi letto l'articolo magari avresti anche una data
Patch Tuesday del prossimo mese in programma per il 13 marzo.

[Averell]

errore, quello che scrivono i redattori non va preso per oro colato, leggi tutta la discussione (meglio se la fonte)

[Lampetto]

Quote:

Originariamente inviato da Averell

errore, quello che scrivono i redattori non va preso per oro colato, leggi tutta la discussione (meglio se la fonte)

La fonte è di Project zero, descrive il bug, non la data del fix

[Phoenix Fire]

Quote:

Originariamente inviato da canislupus

Quindi fatemi capire... scopro un bug e lo dovrei tenere nascosto quanto tempo?
E se MS (ma chiunque altro) ci mettesse 10 anni? Dovrei evitare di divulgarlo con il rischio che altri lo possano evidenziare e magari farne un uso anche illecito?
Non è nascondendo i problemi sotto la sabbia che questi si risolveranno magicamente da soli.
Quello che è successo con Sprectre/Meltdown dovrebbe far capire come sia FONDAMENTALE a volte arrivare anche a queste forme di "ricatto" per incentivare le società a darsi da fare.
Lo sviluppo ha un costo e qualsiasi società pur di evitarsi una seccatura preferirebbe lasciare tutto un colabrodo finchè qualcuno con buone (o cattive) intenzioni si decida a diffondere il problema.

quello che dicevo io è che se MS ha detto lo rilascio a marzo, google secondo me doveva aspettare, poi se a marzo, come sembra, MS non fixa, google è libera di rilasciare la vulnerabilità, dicendo anche che non hanno mostrato prima il problema per concedere a ms più tempo

[acerbo]

ma chi lo usa edge?

[gelty72]

Quote:

Originariamente inviato da Phoenix Fire

quello che dicevo io è che se MS ha detto lo rilascio a marzo, google secondo me doveva aspettare, poi se a marzo, come sembra, MS non fixa, google è libera di rilasciare la vulnerabilità, dicendo anche che non hanno mostrato prima il problema per concedere a ms più tempo

Beh, google ha avvisato microsoft e le ha dato 90 giorni, microsoft in 90 giorni non è riuscita a patchare ed ha chiesto altro tempo, gli sono stati concessi altri 15 giorni e non ce l'ha fatta, quanto tempo bisogna aspettare ancora?
Meglio sapere che c'è la vulnerabilità, così se uso edge nel frattempo che è pronta la patch uso altro (magari firefox così non la do vinta a google ), poi quando il programma è aggiornato ritorno a lui.