Microsoft critica Google per aver diffuso informazioni sul bug di Windows 8.1

Microsoft ha criticado a Google por revelar públicamente una vulnerabilidad en Windows 8.1 antes de que tuviera la oportunidad de solucionarla. La falla, que podría permitir a un atacante obtener privilegios elevados en un sistema, fue reportada por el equipo Project Zero de Google el 29 de diciembre de 2023. Sin embargo, Microsoft dijo que solo se le dio un plazo de 90 días para solucionar el problema, que expiró el 27 de enero de 2024.

In un post sul blog, il direttore senior della risposta alla sicurezza di Microsoft, Chris Betz, ha affermato che la politica di Google di divulgare automaticamente le falle di sicurezza dopo 90 giorni è «meno simile ai principi e più simile a una ‘presa per i fondelli’, con il rischio che i clienti ne risentano». «. Secondo Betz, Google avrebbe dovuto coordinarsi con Microsoft e altri fornitori per garantire che i clienti fossero protetti prima di rendere pubblici i dettagli.

Betz ha inoltre dichiarato che Microsoft prevede di rilasciare una correzione per il bug il 10 febbraio 2024, nell’ambito del ciclo mensile di aggiornamenti di sicurezza. Ha detto che la divulgazione di Google ha messo i clienti a rischio potenziale e non ha tenuto conto della complessità di testare e distribuire le patch per milioni di dispositivi.

Google Project Zero è un team di ricercatori di sicurezza che cerca le vulnerabilità nei prodotti software più diffusi e le segnala ai fornitori. Il team ha una politica che prevede di concedere ai fornitori 90 giorni per risolvere i problemi, dopodiché pubblica i dettagli tecnici e il codice proof-of-concept sul proprio sito web. Google afferma che questa politica è stata pensata per migliorare la trasparenza e la responsabilità nel settore della sicurezza e per incoraggiare i fornitori a correggere i loro prodotti più velocemente.

Tuttavia, alcuni fornitori ed esperti di sicurezza hanno criticato Google per la sua eccessiva rigidità e per non aver preso in considerazione le sfide reali dello sviluppo e della distribuzione delle patch. Inoltre, sostengono che Google non dovrebbe rivelare le vulnerabilità che gli hacker non stanno sfruttando attivamente, in quanto ciò potrebbe dare loro un vantaggio sui difensori.

In passato Microsoft e Google si sono scontrate su questioni di sicurezza. Nel 2010, Google ha accusato Microsoft di aver copiato i suoi risultati di ricerca e di averli utilizzati nel suo motore di ricerca, Bing. Nel 2012, Microsoft ha accusato Google di aggirare le impostazioni sulla privacy degli utenti di Internet Explorer e di tracciare le loro attività online. Nel 2013, Microsoft ha lanciato una campagna denominata «Scroogled», che criticava Google per la scansione delle e-mail degli utenti di Gmail a fini pubblicitari.

Microsoft ha espresso il proprio disappunto nei confronti di Google per aver rivelato una vulnerabilità di Windows 8.1 due giorni prima di rilasciare una patch.

Il team Project Zero di Google, che cerca falle di sicurezza in vari prodotti software, ha una politica di divulgazione dei dettagli di qualsiasi falla 90 giorni dopo la notifica al fornitore.

Così, quando il 13 ottobre Microsoft è stata informata di un problema con Windows 8.1, ha chiesto a Google di mantenere il riserbo fino al 13 gennaio, quando prevedeva di distribuire una correzione nell’ambito della regolare patch del martedì.

Tuttavia, Google ha deciso di pubblicare le informazioni sul bug (e il codice necessario per sfruttarlo) l’11 gennaio.

«Chiediamo a Google di collaborare con noi per proteggere i clienti evitando di fornire dettagli fino a quando… non rilasceremo una correzione», ha scritto il direttore del Microsoft Security Response Center Chris Betz in un post sul blog.

Ha aggiunto che questo è un momento in cui i ricercatori di sicurezza e le aziende di software devono collaborare, non dividersi su importanti strategie di protezione, come la divulgazione delle vulnerabilità e la loro correzione.

Microsoft segue la pratica della Coordinated Vulnerability Disclosure (CVD), che incoraggia coloro che le trovano a segnalare le falle direttamente ai fornitori dei prodotti interessati, al fine di «limitare la finestra di opportunità per i clienti e i loro dati di essere meglio protetti», ha detto Betz.