Windows 10, grave falla di sicurezza scoperta in software integrato
Per otto giorni alcune versioni di Windows sono state fornite con un password manager integrato che nascondeva una grave falla di sicurezza
di Nino Grasso pubblicata il 18 Dicembre 2017, alle 11:01 nel canale SicurezzaWindowsMicrosoft
I software di terze parti integrati nativamente sui sistemi operativi aumentano la versatilità di questi ultimi, ma procurano ansie e nervosismo agli esperti di sicurezza. Questo perché sono una delle principali fonti di vulnerabilità per il sistema, e perché al tempo stesso sono difficilmente gestibili da parte delle compagnie coinvolte. Microsoft lo ha scoperto nel modo peggiore nel corso del fine settimana quando Tavis Ormandy, ricercatore di Google, ha scoperto che una immagine di Windows 10 veniva fornita con un password manager di terze parti "bucato".
Keeper nascondeva un plug-in per browser con un difetto nella maglia di sicurezza per il quale un sito malevolo sviluppato ad-hoc poteva ottenere le password integrate al suo interno. L'immagine colpevole di tutto ciò era per fortuna rivolta agli sviluppatori e diffusa via MSDN, tuttavia alcuni utenti di Reddit hanno fatto notare che hanno ricevuto la copia vulnerabile di Keeper dopo aver eseguito una reinstallazione pulita di copie regolari di Windows 10 Pro, e anche su computer nuovi. Un portavoce di Microsoft ha comunque fatto notare che il problema è stato risolto.
Il team alla base di Keeper ha prontamente corretto l'exploit scoperto da Ormandy e rilasciato la patch, quindi chi utiliza il password manager può semplicemente aggiornarlo all'ultima versione dipsonibile per evitare il problema di sicurezza. Inoltre, solo gli utenti che utilizzavano il plug-in per il browser sono stati esposti alla vulnerabilità. È chiaro che dopo un caso di questo tipo sorge spontanea la domanda: i test di sicurezza di Microsoft per le applicazioni di terze parti sono sufficientemente rigidi come quelli operati sul software nativo?
Microsoft non ha ancora rivelato come il bug sia passato inosservato e inserito all'interno della specifica immagine di Windows 10, e in quali condizioni i computer installano l'applicazione al primo avvio. Come abbiamo già scritto alcuni utenti si sono ritrovati con Keeper installato sul proprio sistema senza volerlo e, sebbene il rischio di sicurezza sia passato, è chiaro che Microsoft dovrebbe confermare le esatte condizioni in cui avviene l'installazione del password manager.
ASUS ProArt PA32UCXR: 4K, Quantum Dot e Mini-LED i per professionisti dell'immagine
HUAWEI WATCH FIT 3: lo smartwatch che ridefinisce design e fitness! Recensione
HONOR 200 Lite, lo smartphone economico per ritratti, selfie, e non solo. La recensione
Broadcom taglia fuori AWS... dal servizio VMware Cloud on AWS
Battlefield: al lavoro il più grande team di sempre per il franchise, ma nessun nuovo capitolo quest'anno
Activision Blizzard: multa da 23,4 milioni di dollari per brevetti violati in Call of Duty e World of Warcraft
Intel bacchetta, di nuovo, i produttori di motherboard: dovete usare le nostre specifiche di default
La missione cinese Chang'e-6 è entrata in orbita lunare, ci vorrà qualche settimana per l'allunaggio
Boeing CST-100 Starliner: il lancio della navicella è stato posticipato al 18 maggio
Un'altra GPU cinese raggiunge la produzione di massa: GP201 è la nuova GeForce GT 1030
iPad Air non è più il tablet più leggero di Apple: il Pro, per assurdo, pesa meno
Minisforum AtomMan X7 Ti: il Mini PC da gaming come non l'avete mai visto
iPad Pro: i nuovi modelli hanno tantissime novità, ma ci sono anche dei passi indietro
Ecco come Cubbit DS3 ha permesso a CloudReso di migliorare la sicurezza dei dati abbattendo del 30% i costi di storage
Ring presenta Pan-Tilt Indoor Camera, la videocamera per interni con visione a 360°
Apple elimina iPad 9 dalla gamma, ma adesso iPad 10 costa molto meno
Tante novità per ho.mobile: raddoppia la banda per le offerte 4G e arrivano 5G ed eSIM
27 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoMi chiedo chi controlla i software integrati prima di rilasciare l'immagine..
Va bene che è impossibile controllare tutto, ma questo mi sa da pirla...
Apprezzo chi si fida invece nel farlo
Cmq vero... la corsa al "buttar fuori" per tempo porta a non-testing che possono creare seri problemi...
Io lo faccio da sempre...
E da sempre che ho problemi solo quando cerco con l'overclock di superare i limiti della fisica...
Beh, non c'è neanche bisogno di installarlo...sul sito c'è anche la versione portable...
Viene installato da Microsoft stessa come altre App e, salvo magheggi, te lo trovi installato senza poterlo evitare.
È Windows 10 dolcezza...
È Windows 10 dolcezza...
Click con il destro -> disinstalla...
ci vuole più tempo a scriverlo che a farlo!
Eccezzzziunale veramente!
Ha, ha, ha, ha, haaaaa....Con tutti i "billions of dollars" che guadagna dalle vendite e dall'utilizzo commerciale del marchio e dei prodotti, con tutte le migliaia di programmatori strapagati, con tutti i milioni di beta-tester e peto-tester che fanno a gara per apologgizzare ogni novità di Microsoft, questa casa che produce soldi e che si dice in giro sul web (le "solite malelingue?) spifferi i nostri dati a "chi di dovere", ebbene anch'essa scivola sulle bucce di banana e va "con il culo per terra" (è una metafora, non un insulto).
Se ben ricordo già XP ebbe oltre 900 patch e fix e aggiornamenti, oltre la metà dei quali per le solite voragini e falle che "alcuni malintenzionati" avrebbero potuto sfruttare per carpire i nostri segreti più segreti e portatci "tanto danno e malware".
Ma sulle tante chiacchierate "backdoor" di cui tanto si scrive in giro sul web, cucite apposta "ad usum delfini", di cui ad esempio "si dice" che la NSA "si nutra" virtualmente, quali patch e fix sono stati mai resi noti e offerti alla utenza? (utonza?).
E poi si permettono di disprezzare l'open source, che perlomeno è gratis, anche se non perfettissima alla maniera del sommo creatore.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".