Windows 10, grave falla di sicurezza scoperta in software integrato
Per otto giorni alcune versioni di Windows sono state fornite con un password manager integrato che nascondeva una grave falla di sicurezza
di Nino Grasso pubblicata il 18 Dicembre 2017, alle 11:01 nel canale SicurezzaWindowsMicrosoft
I software di terze parti integrati nativamente sui sistemi operativi aumentano la versatilità di questi ultimi, ma procurano ansie e nervosismo agli esperti di sicurezza. Questo perché sono una delle principali fonti di vulnerabilità per il sistema, e perché al tempo stesso sono difficilmente gestibili da parte delle compagnie coinvolte. Microsoft lo ha scoperto nel modo peggiore nel corso del fine settimana quando Tavis Ormandy, ricercatore di Google, ha scoperto che una immagine di Windows 10 veniva fornita con un password manager di terze parti "bucato".
Keeper nascondeva un plug-in per browser con un difetto nella maglia di sicurezza per il quale un sito malevolo sviluppato ad-hoc poteva ottenere le password integrate al suo interno. L'immagine colpevole di tutto ciò era per fortuna rivolta agli sviluppatori e diffusa via MSDN, tuttavia alcuni utenti di Reddit hanno fatto notare che hanno ricevuto la copia vulnerabile di Keeper dopo aver eseguito una reinstallazione pulita di copie regolari di Windows 10 Pro, e anche su computer nuovi. Un portavoce di Microsoft ha comunque fatto notare che il problema è stato risolto.
Il team alla base di Keeper ha prontamente corretto l'exploit scoperto da Ormandy e rilasciato la patch, quindi chi utiliza il password manager può semplicemente aggiornarlo all'ultima versione dipsonibile per evitare il problema di sicurezza. Inoltre, solo gli utenti che utilizzavano il plug-in per il browser sono stati esposti alla vulnerabilità. È chiaro che dopo un caso di questo tipo sorge spontanea la domanda: i test di sicurezza di Microsoft per le applicazioni di terze parti sono sufficientemente rigidi come quelli operati sul software nativo?
Microsoft non ha ancora rivelato come il bug sia passato inosservato e inserito all'interno della specifica immagine di Windows 10, e in quali condizioni i computer installano l'applicazione al primo avvio. Come abbiamo già scritto alcuni utenti si sono ritrovati con Keeper installato sul proprio sistema senza volerlo e, sebbene il rischio di sicurezza sia passato, è chiaro che Microsoft dovrebbe confermare le esatte condizioni in cui avviene l'installazione del password manager.
27 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoMi chiedo chi controlla i software integrati prima di rilasciare l'immagine..
Va bene che è impossibile controllare tutto, ma questo mi sa da pirla...
Apprezzo chi si fida invece nel farlo
Cmq vero... la corsa al "buttar fuori" per tempo porta a non-testing che possono creare seri problemi...
Io lo faccio da sempre...
E da sempre che ho problemi solo quando cerco con l'overclock di superare i limiti della fisica...
Beh, non c'è neanche bisogno di installarlo...sul sito c'è anche la versione portable...
Viene installato da Microsoft stessa come altre App e, salvo magheggi, te lo trovi installato senza poterlo evitare.
È Windows 10 dolcezza...
È Windows 10 dolcezza...
Click con il destro -> disinstalla...
ci vuole più tempo a scriverlo che a farlo!
Eccezzzziunale veramente!
Ha, ha, ha, ha, haaaaa....Con tutti i "billions of dollars" che guadagna dalle vendite e dall'utilizzo commerciale del marchio e dei prodotti, con tutte le migliaia di programmatori strapagati, con tutti i milioni di beta-tester e peto-tester che fanno a gara per apologgizzare ogni novità di Microsoft, questa casa che produce soldi e che si dice in giro sul web (le "solite malelingue?) spifferi i nostri dati a "chi di dovere", ebbene anch'essa scivola sulle bucce di banana e va "con il culo per terra" (è una metafora, non un insulto).
Se ben ricordo già XP ebbe oltre 900 patch e fix e aggiornamenti, oltre la metà dei quali per le solite voragini e falle che "alcuni malintenzionati" avrebbero potuto sfruttare per carpire i nostri segreti più segreti e portatci "tanto danno e malware".
Ma sulle tante chiacchierate "backdoor" di cui tanto si scrive in giro sul web, cucite apposta "ad usum delfini", di cui ad esempio "si dice" che la NSA "si nutra" virtualmente, quali patch e fix sono stati mai resi noti e offerti alla utenza? (utonza?).
E poi si permettono di disprezzare l'open source, che perlomeno è gratis, anche se non perfettissima alla maniera del sommo creatore.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".