Google Project Zero trova una vulnerabilità a medio rischio in Windows 10 S

20 Aprile 2018 67

Google Project Zero ha scoperto una nuova falla di sicurezza in un prodotto Microsoft, in particolare in Windows 10 S; la gravità è giudicata "media": permette in linea teorica di eseguire il "jailbreak" (esecuzione di codice e applicazioni esterne al Microsoft Store) dell'edizione di Windows pensata per le scuole, ma non è facile da sfruttare. Non si può attuare da remoto né è una privilege escalation - bisognerebbe insomma conoscere e applicare altre vulnerabilità ben più gravi per riuscire ad eseguire questa (i dettagli tecnici del bug sono consultabili alla voce FONTE).

Google ha rilevato pubblicamente i dettagli della falla perché Microsoft non è riuscita a chiudere la falla entro i tradizionali 90 giorni (più eventuali 14 di estensione, accordati in casi ben precisi) dalla prima notifica privata. Google usa lo "spauracchio" della divulgazione pubblica per far sì che gli sviluppatori lavorino a una soluzione con solerzia. La correzione avrebbe dovuto arrivare con il Patch Tuesday di aprile, ma a causa di imprevisti si è reso necessario posticiparla.

È interessante osservare che, nella comunicazione tra Google e Microsoft, la settimana scorsa si è parlato anche di Windows 10 RS4, l'aggiornamento di Windows 10 che avrebbe dovuto essere rilasciato martedì scorso; lo stesso giorno Redmond chiede un ulteriore rinvio visto che RS4 conterrà la correzione, ma Google ribatte che non c'è ancora una data di distribuzione precisa.


67

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Paolo Baldini

Tutto ormai sono solo webapp questo per favorire la sicurezza dei software

Aikon

ripeto
La gravità è media,
Permette in linea teorica,
Non può essere fatta da remoto,
E non permette di scalare con i privilegi…. in pratica il bug c'è ma è quasi impossibile da sfruttare, anche perché appunto devi avere la macchina davanti ,..... se poi mi trovi un SW senza bug nella scuola… ti prego fammi un esempio...

Paolo Baldini

Vi lamentate tanto di bugghettini del genere e poi su windows puoi fare una privilege escalation tranquillo in 10minuti

Paolo Baldini

É pensato per le scuole é gravissimo si potrebbe mettere qualsiasi cosa su questi PC!!!

Maximus

parli di aziende\strutture che usavano ancora windows xp e 7 , informati prima di parlare.

Rick Deckard®

Si in Microsoft sono bravissimi... Si è solo bloccata la sanità, gli aereoporti e alcune centrali nucleari in mezzo mondo appena qualche mese fa . Nulla di paragonabile alle pericolosissime estensioni di Chrome che cliccano sulle pubblicità a tua insaputa

Boronius

Hahahahahaha

Boronius

Prendi l'atmosfera marziana, togli la CO2 e ottieni l'importanza di questo bug

Boronius

Esatto

Maximus

ti potrei rispondere che anche una falla la chiudi ed è risolto, con la piccola differenza che il Chrome store ha creato danni reali, la falla no, queste sono constatazioni incontestabili.

SirMau

Quando hai scritto "sempre", non ti riferivi letteralmente al lungo lasso temporale dagli anni 90 fino ad oggi vero?

SirMau

Eppure i bug a ogni nuovo update dovrebbero essere più contenuti rispetto al modo di lavorare in passato.

Rick Deckard®

Il problema della sicurezza è l'incuria

Bastia Javi

Questo è un finto problema di sicurezza.

Rick Deckard®

Vero. Però li rimuovono e fine della festa

Rick Deckard®

Se ne sono sempre fottuti della sicurezza e i risultati sono ben noti a tutti

MatitaNera

"sia stata"

moichain

quoto!!!

moichain

io non ho nominato nessuno apposta, sapendo che anche google infatti non è essente da bug e via dicendo,ma evidentemente i loro team si impegna di più di altri tutto qui!

moichain

infatti io non ho nominato nessuno apposta! ci vorrebbe un team così per ogni Os visto che nessuno lavora bene

Squak9000

A proposito di Windows ho un problema su surface Pro 3:

Quando vado su una qualsiasi icona e preni con il pulsante destro del touchpad (per fare uscire la tendina menù), mi va in attesa (circa 3 secondi) e poi mi crasha tutto (la homepage fa un refresh) mi chiude le eventuali cartelle aperte e rimane il dsktop come nulla fosse successo...

Aikon

D'altronde è sempre la MS quella cattiva e Google sempre la migliore... sempre e comunque, stai sicuro che per il blog l'opinione è sempre quella.

mat

Qua l'unica notizia è che avete scritto una notizia su una vulnerabilità di gravità media...

Adriano

No no non lavorano per Google stessa a quanto pare...

Aikon

Bhe oddio, ogni Software grande o piccolo che sia di apple/ms/google ha dei bug, detto ciò, vuoi dirmi con in google lavorano bene?

Big wall

quello assolutamente

Bastia Javi

Ha ha, ma davvero...

Bastia Javi

Immagino che la risposta è stata "fottitene in tempo zero" da parte di Ms.

Tk Desimon

Windows 10 S(chifo)

Conan

se si imparasse a capire cosa scaricare e cosa no , non sarebbe un'idea malvagia

Maximus

Chromebook diffusione a livello mondiale 0,63%, forse ancora oggi ci sono più commodore 64.

Maximus

come quali app, giusto sul chrome store erano presenti finti ad-blocker che hanno infettato 20 milioni di pc , vedi tu ....

Maximus

Ed intanto che Google trovava questa falla su Windows , nel Chrome Store venivano scaricati dei finti ad-blocker che infettavano 20 milioni di pc, e dopo questo si devono anche leggere commenti di gente che loda Google, assurdo.

Maximus

esatto

Maximus

La mia era una riflessione logica, non so se hai capito il senso del discorso.

Maximus

si può dire anche gruviera.

Aikon

La gravità è media,
Permette in linea teorica,
Non può essere fatta da remoto,
E non permette di scalare con i privilegi... Interessante .. Aria fritta quindi?

Raiden

Tranquillo... Anche prima dell'uscita!

Rick Deckard®

Tipo quale app?

Rick Deckard®

Lo spauracchio della pubblicazione funziona, ma non con Microsoft che in 90 giorni deve ancora aprore la mail

JUDVS

Google aiuta a trovare delle falle che non trova Microsoft, e voi vi lamentate?

Luca

Non si dice gruviera ma Gooviera

moichain

pensa che era ritenuto il più sicuro di tutti gli os di MS!

moichain

ci pensa lui! non vedi?

moichain

il team giusto,che lavora x quelli che non hanno voglia o lavorano male!

Matteo

Falla della falla nella falla con la falla.. Inception falla

CAIO MARIOZ

Doveva essere l’assassino dei Chromebook
Si sarà suicidato

CAIO MARIOZ

Google ha un team dedicato alla ricerca delle vulnerabilità di tutti i sistemi (e comunque Google è presente in tutti i sistemi operativi)

Mako

google ha un team, il project zero, che si occupa di cercare falle nei software usati dai propri utenti

Palux

Perché RS4 contiene la correzione alla vulnerabilità, ma essendo scaduti i termini per correggere la falla pena la divulgazione...Google decide di pubblicare comunque i dati sulla stessa, nonostante M$ abbia chiesto di rinviare la pubblicazione perché RS4 la correggerebbe. Google se ne infischia e pubblica, tanto i 90 gg sono passati.

Recensione ROG Strix Scar 17 (2023), il nuovo Ryzen 9 7945HX è una bomba!

Recensione MSI Prestige 13 Evo A13M: business elite

NVIDIA Studio e Omniverse, come annullare 7.000 Km grazie alla tecnologia

Recensione Medion Erazer Major X10: Intel ARC A730M sfida la RTX 3060 | VIDEO