Windows 10, grave falla di sicurezza scoperta in software integrato

Windows 10, grave falla di sicurezza scoperta in software integrato

Per otto giorni alcune versioni di Windows sono state fornite con un password manager integrato che nascondeva una grave falla di sicurezza

di pubblicata il , alle 11:01 nel canale Sicurezza
WindowsMicrosoft
 

I software di terze parti integrati nativamente sui sistemi operativi aumentano la versatilità di questi ultimi, ma procurano ansie e nervosismo agli esperti di sicurezza. Questo perché sono una delle principali fonti di vulnerabilità per il sistema, e perché al tempo stesso sono difficilmente gestibili da parte delle compagnie coinvolte. Microsoft lo ha scoperto nel modo peggiore nel corso del fine settimana quando Tavis Ormandy, ricercatore di Google, ha scoperto che una immagine di Windows 10 veniva fornita con un password manager di terze parti "bucato".

Keeper nascondeva un plug-in per browser con un difetto nella maglia di sicurezza per il quale un sito malevolo sviluppato ad-hoc poteva ottenere le password integrate al suo interno. L'immagine colpevole di tutto ciò era per fortuna rivolta agli sviluppatori e diffusa via MSDN, tuttavia alcuni utenti di Reddit hanno fatto notare che hanno ricevuto la copia vulnerabile di Keeper dopo aver eseguito una reinstallazione pulita di copie regolari di Windows 10 Pro, e anche su computer nuovi. Un portavoce di Microsoft ha comunque fatto notare che il problema è stato risolto.

Il team alla base di Keeper ha prontamente corretto l'exploit scoperto da Ormandy e rilasciato la patch, quindi chi utiliza il password manager può semplicemente aggiornarlo all'ultima versione dipsonibile per evitare il problema di sicurezza. Inoltre, solo gli utenti che utilizzavano il plug-in per il browser sono stati esposti alla vulnerabilità. È chiaro che dopo un caso di questo tipo sorge spontanea la domanda: i test di sicurezza di Microsoft per le applicazioni di terze parti sono sufficientemente rigidi come quelli operati sul software nativo?

Microsoft non ha ancora rivelato come il bug sia passato inosservato e inserito all'interno della specifica immagine di Windows 10, e in quali condizioni i computer installano l'applicazione al primo avvio. Come abbiamo già scritto alcuni utenti si sono ritrovati con Keeper installato sul proprio sistema senza volerlo e, sebbene il rischio di sicurezza sia passato, è chiaro che Microsoft dovrebbe confermare le esatte condizioni in cui avviene l'installazione del password manager.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

29 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Lampetto18 Dicembre 2017, 11:07 #1
Keeper nascondeva un plug-in per browser con un difetto nella maglia di sicurezza per il quale un sito malevolo sviluppato ad-hoc poteva ottenere le password integrate al suo interno

Mi chiedo chi controlla i software integrati prima di rilasciare l'immagine..
Va bene che è impossibile controllare tutto, ma questo mi sa da pirla...
Perseverance18 Dicembre 2017, 11:21 #2
Per forza di cose si arriva a scrivere software buggato quando bisogna rispettare dei tempi di sviluppo, è così per tutti.
LoGi18 Dicembre 2017, 13:38 #3
Mai salvato una psw su pc e mai lo farò
Apprezzo chi si fida invece nel farlo

Cmq vero... la corsa al "buttar fuori" per tempo porta a non-testing che possono creare seri problemi...
Simone Mesca18 Dicembre 2017, 15:21 #4
Da un paio di mesi installo (E POI DISINSTALLO) CCleaner solo e solamente per disinstallare tutte le app-porcheria native in Windows 10. Mai scelta fu così azzecata.
gd350turbo18 Dicembre 2017, 15:33 #5
Da un paio di mesi ?

Io lo faccio da sempre...

E da sempre che ho problemi solo quando cerco con l'overclock di superare i limiti della fisica...
frankie18 Dicembre 2017, 18:02 #6
Ma soprattutto chi distribuiva una copia di win con installato Keeper?
doppiag18 Dicembre 2017, 19:58 #7
Originariamente inviato da: Simone Mesca
Da un paio di mesi installo (E POI DISINSTALLO) CCleaner solo e solamente per disinstallare tutte le app-porcheria native in Windows 10. Mai scelta fu così azzecata.


Beh, non c'è neanche bisogno di installarlo...sul sito c'è anche la versione portable...
Nicodemo Timoteo Taddeo18 Dicembre 2017, 20:09 #8
Originariamente inviato da: frankie
Ma soprattutto chi distribuiva una copia di win con installato Keeper?


Viene installato da Microsoft stessa come altre App e, salvo magheggi, te lo trovi installato senza poterlo evitare.

È Windows 10 dolcezza...
gd350turbo18 Dicembre 2017, 20:28 #9
Originariamente inviato da: Nicodemo Timoteo Taddeo
Viene installato da Microsoft stessa come altre App e, salvo magheggi, te lo trovi installato senza poterlo evitare.

È Windows 10 dolcezza...


Click con il destro -> disinstalla...
ci vuole più tempo a scriverlo che a farlo!
lemuel19 Dicembre 2017, 01:03 #10

Eccezzzziunale veramente!

Ha, ha, ha, ha, haaaaa....
Con tutti i "billions of dollars" che guadagna dalle vendite e dall'utilizzo commerciale del marchio e dei prodotti, con tutte le migliaia di programmatori strapagati, con tutti i milioni di beta-tester e peto-tester che fanno a gara per apologgizzare ogni novità di Microsoft, questa casa che produce soldi e che si dice in giro sul web (le "solite malelingue?) spifferi i nostri dati a "chi di dovere", ebbene anch'essa scivola sulle bucce di banana e va "con il culo per terra" (è una metafora, non un insulto).
Se ben ricordo già XP ebbe oltre 900 patch e fix e aggiornamenti, oltre la metà dei quali per le solite voragini e falle che "alcuni malintenzionati" avrebbero potuto sfruttare per carpire i nostri segreti più segreti e portatci "tanto danno e malware".
Ma sulle tante chiacchierate "backdoor" di cui tanto si scrive in giro sul web, cucite apposta "ad usum delfini", di cui ad esempio "si dice" che la NSA "si nutra" virtualmente, quali patch e fix sono stati mai resi noti e offerti alla utenza? (utonza?).
E poi si permettono di disprezzare l'open source, che perlomeno è gratis, anche se non perfettissima alla maniera del sommo creatore.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^