Microsoft Security Advisory sull’Help and Support Center


[English readers: you can find English links in this post for your convenience]

Vi rilancio il post del Microsoft Security Response Center (MSRC) che ha comunicato il rilascio del “Microsoft Security Advisory (2219475) – Vulnerability in Windows Help and Support Center Could Allow Remote Code Execution” per segnalare la fase di analisi della vulnerabilità nell’applicazione di Help and Support Center presente in Windows XP e Windows Server 2003:

The Microsoft Security Response Center (MSRC) Blog: Security Advisory 2219475 Released

E’ molto importante che leggiate anche il post preliminare del MSRC e quello di approfondimento dell’SRD:

MSRC post: Windows Help Vulnerability Disclosure

SRD post: Help and Support Center vulnerability full-disclosure posting

Poi lascio a voi commentare come si possa giudicare l’operato di Google al riguardo…

Feliciano

Other related posts/resources:

Comments (36)

  1. Claudio says:

    Premessa: non ho letto TUTTO l'affaire, principalmente i commenti come questo

    il comportamento di bigG non e' sicuramente fantastico.

    Vero e' anche che da qualcuno debbono avere imparato. Con poche aziende come MS  ho avuto tanti problemi di comunicazione e bastoni fra le mie ruote. Se da piccolo free lance dovessi diventare un'impero ' vi assicuro che farei nei vs confronti la stessa cosa.

    Non e' cattiveria, ripicca o simili e' semplicemente che MS ha dettato degli standard non solo riguardo agli "oggetti" ma anche ai rapporti.

    Sbaglio qualcosa?

  2. Feliciano Intini says:

    Claudio, se Microsoft ha sbagliato nei tuoi confronti sono il primo a rammaricarmene e a scusarmi per suo conto, anche se, lavorando tutto il giorno per contribuire al suo miglioramento, mi piacerebbe entrare nel merito per capire chi di noi e come/quando ha causato questo tuo malumore… e provare a cambiare le cose.

    Detto questo, scusami ma non condivido assolutamente che il confronto competitivo si faccia sulla pelle degli utenti.

  3. Esprit says:

    I "problemi di comunicazione" sono tipici delle aziende pubbliche, monopoliste o che "credono" di essere il riferimento di mercato. Tre categorie che sono gia' nella fase di declino e scomparsa.

  4. Feliciano Intini says:

    Elegante provocazione Esprit, complimenti 🙂 secondo te Google in quale di queste categorie ricade?

  5. mar10 says:

    ma dai.. avete migliaia di programmatori al vostro servizio, il codice sorgente dell'applicazione che genera il problema e in 5 (cinque) giorni non riuscite a risolverlo, lamentandovi del dito che indica la luna.. perlomeno incassate in silenzio e lavorate alacremente sulla cosa.. mah..

  6. Feliciano Intini says:

    mar10, lo dico davvero con tutto il rispetto, ma se sei davvero convinto di quello che hai scritto (e non vuoi generare flame), forse non hai chiaro di come funzioni il processo di TEST di un aggiornamento di sicurezza per un'azienda che gestisce così tante versioni di software e su più di 20 lingue diverse…

  7. Esprit says:

    In nessuna delle tre per ora.

    Ma appena entra in una delle categorie diventa soggetta a declino e scomparsa.

    A meno che cerchi di fare accordi con altre aziende appartenenti alle stesse categorie, principalmente pubbliche (l'unica delle tre categorie che controlla le altre due).

    Ma allora è solo sopravivenza, e come tale è solo un "allungamento" del periodo di scomparsa.

    Comunicare e confrontarsi è l'unica soluzione.

  8. Feliciano Intini says:

    Esprit, non condivido la prima affermazione, ma sono con te tutta la vita sull'ultima, magari aggiungendo un ", con rispetto reciproco" alla fine della frase.

    Grazie dei tuoi commenti

  9. Paolo aka H5N1 says:

    A mio avviso la frase "Poi lascio a voi commentare come si possa giudicare l’operato di Google al riguardo…" è faziosa e, a questo punto, mi chiedo che fine faccia quel "rispetto reciproco" di cui all'intervento precedente.

    Innanzitutto un Ingengere di Google non è Google e dubito che Tavis Ormandy abbia agito in nome dell'azienda nel pubblicare la falla.

    A tal proposito se io reputassi irriverente (nonchè perentoria) la frase di cui sopra potrei attribuirla a Microsoft stessa (cosa che mi guardo bene dal fare).

    Signori, prendiamo le cose per quel che sono cercando di dare informazione, anche critica, ma senza scadere nella provocazione che non giova a nessuno.

    Che la pubblicazione dell'exploit (reperibile agli indirizzi seclists.org/…/205 e archives.neohapsis.com/…/0197.html) a soli 5 giorni dalla comunicazione a Microsoft sia prematura e poco etica è anche ammissibile fermo restando, però, che c'è da chiedersi quale sia il tempo massimo da attendere prima di pubblicare un'exploit o un proof-of-concept del genere.

    Lungi da me fare dell'ulteriore polemica o provocazione, ma tra violazioni di diritti, leggi a buon mercato, licenze (perfino GPL) violate, tuonanti accuse tra le parti più diverse e mancanza di buonsenso a volte viene da chiedermi se non sia meglio non averla affatto un'etica.

  10. Sfanala says:

    La cosa positiva è che giorno dopo giorno MicroZoFt diventa sempre più ridicola…

    Avanti così!

  11. Marco says:

    Salve,

    sono un freelance che lavora nel 90% dei casi con tecnologie Microsoft in ambienti di grandi dimensioni pubblico e privato. In merito a questo articolo di Feliciano, che apprezzo come professionista, volevo solo porvi una semplice domanda, immaginate voi, di essere degli IT manager o degli amministratori di sistema e un personaggio di questi ogni tanto divulga pubblicamente informazioni delicate sopra le funzionalità e le vulnerabilità che potrebbero colpire i vostri sistemi, indipendentemente dalla loro buona progettazione, operatività e vendor. Ora oltre a pararmi dai dei delinquenti informatici devo pararmi dagli  smanettoni, dai lamer e non sò chi altro possa leggere un articolo di sicurezza informatica.

    E' eticamente scorretto da parte del professionista divulgare queste informazioni, poi non credo che Google approvi questa politica.

    saluti

  12. ArMyZ says:

    Ciao Feliciano, ci siamo incrociati diverse volte in convegni e tavole rotonde organizzate da amici comuni.

    Ho provato a contestualizzare il momento non facile che stanno vivendo i colossi e l'ho fatto con un post dettagliato e circostanziato sul mio blog. Non so se ti arriva il pingback, non ho trovato il modo di inviarti un trackback quindi riassumo e ti lascio il link alla fine. Credo che 4 giorni siano stati abbastanza pochi e ritengo che ahinoi non siete abituati a rispondere in così poco tempo. E' evidente che il precedente del bug del kernel NT per la compatibilità alle applicazioni a 16 bit che coinvolge TUTTI i sistemi MS dal 1993 in poi, credo abbiano un po' cambiato le carte in tavole. Quattro giorni posso capire siano un po' una provocazioni ma anni di silenzio (e mesi consapevolmente a quanto pare) sono decisamente troppi. Ad ogni modo, circostanziato e dettagliato con una punta di amara consapevolezza: blog.armandoleotta.com/…/ricercatore-di-google-scopre-nuova-falla-in-windows-xp-e-windows-server-2003-helpctr-exe-e-microsoft

    Saluti,

    Armando Leotta

  13. patente_pendente says:

    ben vengano personaggi come il ricercatore in oggetto, e' grazie a tipi come lui se le aziende si sforzano piu' di quanto vorrebbero

    patch per linux a volte vengono rilasciate a poche ore dalla scoperta della falla… certo mi si dira' che Microsoft ha la responsabilita' verso clienti ecc. e sono d'accordo:

    Microsoft ha delle responsabilita', e' in grado di prendersele oppure no?

  14. Nicola says:

    secondo me bigG ha fatto bene a segnalare l'exploit, affinche microsoft possa correggere il problema.

    ma non vi ricordate che nelle ultime settimate google ha deciso di rimuovere windows dai suoi uffici, perchè poco sicuro.

    secondo me google si è impegnato a trovare di proposito una falla per dimostrare a microsoft che windows non è sicuro….

  15. paradix86 says:

    scusatemi, ma non ho colto il problema "relazionale" ( tralasciando il reale problema del bug…)

    COSA AVREBBE DOVUTO FARE QUESTO INGEGNERE DI GOOGLE PER COMPORTARSI IN MODO RITENUTO CORRETTO???

    FARVELO SAPERE PRIMA A VOI, E SOLO SUCCESSIVAMENTE PUBBLICARE LA NOTIZIA????

    non preoccupatevi, credo non capiterà più che un ingegnere google scoprirà falle in windows…in quanto fra poco a google NESSUNO, completata la transizione, userà più prodotti microsoft….

    punto-informatico.it/…/google-non-piace-windows.aspx

    mentre, finchè microsoft mi darà problemi in quanto "non concepiscono" (parole del "supervisore Francesco, supporto tecnico xbox ..) il cambiamento di nazione, e che non sanno che in svizzera si parla anche italiano(lingua ufficiale riconosciuta in svizzera….it.wikipedia.org/…/Svizzera)….e quindi o ti becchi le cose in francese e tedesco, oppure metti la nazione italia e hai problemi nel scaricarti cose PAGATE comprando un gioco xbox….

  16. Andrea says:

    Il problema scovato da Google secondo me non ha solo lo scopo di aver trovato una falla nel sistema XP , ma secondo me se viene considerata questa cosa dopo che Google ha vietato ai suoi dipendenti di usare Windows come sistema operativo allora mi pare logico vedere una sorta di ribellione contro la casa di Redmond ! Ora posso capire che un esperto di security pagata da Google ( la stessa che ricordo ha prima smentito il fatto di aver prelevato dati con StreetView e poi lo ha ammesso ) possa scoprire una falla all interno di un sistema ma che poi nel suo Blog metta l apparente soluzione con tanto di maniera per usare la falla mi pare un modo per arrecare danno alla Microsoft o cosa ??

  17. ivano says:

    Mi meraviglio il fatto che uno che scopre una falla lo comunica in un blog, se veramente voleva tutelare gli utenti doveva prima ed anzitempo comunicarlo alla microsoft, a questo punto mi viene solo il sospetto che questo signore voleva farsi una bella pubblicità a duiscapito della sicurezza ed a quanto pare ha funzionato. Ma questo da che parte sta?

  18. Giuseppe Rossi says:

    Dopo l'exploit di Vista orama in Microsoft c'è posto per tutto, compreso un CEO che raccomanda di non comperare il suo prodotto di punta perchè fra poco ne arriva uno migliore, vedo tempi oscuri.

  19. Andrea says:

    @Giuseppe

    purtroppo in periodi di crisi come questo , si vedono spesso queste sparate da parte di manager meno attenti agli interessi della ditta percui lavorano , sai come è quando va tutto bene allora tutto va bene ma quando ci sono i problemi allora si che sono dolori perche solo alcuni sono in grado di risolverli !

    Tornando al discorso di Google forse è meglio che invece di andare a guardare i problemi di Windows Xp vada a sistemare la Gmail visto che da mesi ormai è invasa dallo spam , ancora di piu della mail di alice !!!

  20. pippo says:

    Ritengo che la pubblicazione di un bug sia giusta da fare, altrimenti non credo che microsoft si preoccupi di chiuderla anche se ne è a conoscenza.

    L'informazione è la base dello sviluppo.

    Giustissimo segnalare il problema, ancora più giusto mostrare un metodo semplice come sfruttarlo, e ancora più giusto segnalare il tutto a microsoft per far correggere il problema.

  21. Feliciano Intini says:

    Wow, era da tempo che non vedevo così tanti commenti… torno presto a rispondervi.

  22. Andrea says:

    @pippo

    Scusa ma se uno trovasse la maniera per prelevare i soldi dal Bancomat usando una falla del sistema voi sareste contenti che costui metta sul suo Blog come si puo fare ?

    Io trovo corretto da una minima parte il lavoro che ha fatto Google nel scovare una possibile falla del sistema , trovo però scorretto che all interno del Blog venga dimostrato come fare per entrare nei sistemi altrui !! quelle erano comunicazioni che potevano al massimo fare via mail con la Microsoft .. penso che se quel "ricercatore di Google" mandava una mail a Feliciano risolveva prima le cose senza problemi !!

  23. Marco says:

    Per tutti quelli che si lamentano delle tempistiche di divulgazione da parte del blogger , dovete sapere che HA COMUNICATO A MICROSOFT il bug e 5 giorni dopo ha pubblicato sul blog la cosa, e Microsoft si lamenta che gli ha dato poco tempo per risolvere il problema è proprio ridicola.

    Ciao

    Marco

    OpenSUSE 11.2

  24. laz says:

    Per me tanto di cappello all'ingegnere di google, in quanto ha reso pubblica una falla che avrebbe potuto causare molti più problemi se fosse rimasta nascosta per qualche altro giorno. Forse lui non è l'unico ad averla scoperta, e forse non è il primo. E' però il primo ad aver informato il mondo dell'esistenza della falla e di farlo firmandosi con il suo nome. Io lavoro su piattaforme Microsoft  e trovo ottimi alcuni loro software, ma per evitare imbarazzi di vario genere la Casa avrebbe dovuto rilasciare un patch immediatamente – anche solo per aggirare temporaneamente la falla – come ha proposto l'ing. Non credo che sia in discussione l'etica del suo gesto.

  25. RealENNECI says:

    Scusa Feliciano,

    ma non capisco…

    Più di 20 lingue diverse? e allora?

    Volete fare u N.1 e avete 1 versione di Windows per ogni lingua? innovativo!!

    Volevo farti notare che altri sistemi da voi pesantemente criticati, come Linux, hanno la gestione della lingua separata, e mi sembra proprio il minimo del minimo!!!

    Quindi… non è una scusa valida, dicaimo piuttosto che non sapete che pesci pigliare va…

    Auguri e W il preinstallato, sperate solo che dura…

  26. Sfanala says:

    Vedo che è più facile sparire che dare delle risposte…

    Tipico stile M$…

  27. Feliciano Intini says:

    Ciao Armando (ArMyZ), mi scuso di questo ritardo con te (ti confermo anche che non mi arrivano i pingback) e con gli altri che hanno commentato.

    Non posso ovviamente essere orgoglioso se la mia azienda ci mette secoli a rilasciare una security patch, rispetto all'esempio che hai fatto del bug su NT. Quello che però io posso testimoniare, perché lavoro direttamente sul tema da quando sono in Microsoft, è che a partire dalla nascita del Trustworthy Computing (2002) il criterio che guida il MSRC è quello di correggere TUTTE le vulnerabilità di cui viene a conoscenza e di farlo in modo da mettere al primo posto la sicurezza degli utenti e poi la salvaguardia dell'operatività di applicazioni e delle soluzioni. Questo approccio ha portato nel tempo a scegliere il rilascio mensile, poi l'idea dei Security Advisory e l'uso dei rilasci straordinari (anche se potevano apparire scomodi dal punto di vista PR): questa evoluzione a mio parere sono dei fatti che dimostrano il presupposto di cui sopra. A questo punto il lettore può credere a questa intenzione o può non crederci. Chi non ci crede, continuerà a leggere i "ritardi" di Microsoft come il tentativo di insabbiare le vulnerabilità, continuerà a non voler vedere che possano esserci gestioni complesse nelle fasi di testing per garantire la funzionalità di centinaia di applicazioni critiche, continuerà a pensare, come forse il ricercatore di Google, che basti aggiustare le 2 righe di codice e buttare fuori la patch: tanto se fosse fatta male e schiantasse soluzioni mission-critical non sono fatti suoi, così come non importa se la disclosure fatta in questo modo porta a far creare exploit attivi e a produrre attacchi in the wild: non è Microsoft che è colpita da questo comportamento, è l'utente a farne le spese, e per me questo è un modo non responsabile di agire, my personal opinion.  

  28. Feliciano Intini says:

    @patente pendente: oltre a quanto ho scritto nel mio commento, vorrei ribadire che, a parte alcuni casi in cui la modifica di una patch richieda lo stravolgimento architetturale, di solito scrivere la correzione in se è una fase abbastanza veloce; è il testing che prende tempo: personalmente non credo che le piattaforme linux facciano lo stesso tipo di testing applicativo che è necessario a Microsoft per garantire che l'ecosistema di migliaia di applicazioni su Windows non abbiano problemi.

  29. Feliciano Intini says:

    @Nicola: vedi, tu parti dall'assunto che Microsoft abbia voglia di non correggere tutte le vulnerabilità. Liberissimo di crederlo, ma, come ho detto, secondo me ci sono i fatti a dimostrarlo.

  30. Feliciano Intini says:

    @paradix86: la politica di disclosure che Microsoft ritiene adeguata per proteggere al meglio gli utenti è quella di avvisare prima il vendor del problema, lavorare con lui per l'analisi della vulnerabilità e ricevere i crediti della segnalazione.

  31. Feliciano Intini says:

    @pippo: anche tu parti dal presupposto che Microsoft abbia interesse a non correggere i problemi e che serva qualcuno che faccia baccano per costringerla a farlo, io non la penso così

  32. Feliciano Intini says:

    @Marco: è il livello di discosure il problema: alla fine, con i dettagli condivisi, ha causato la realizzazione di attacchi, o no?

  33. Feliciano Intini says:

    @Iaz: perdonami, ma parli con il presupposto che dicevo per cui realizzare la patch significa solo modificare le due righe di codice, ricompilare e via. Magari fosse così. Nella valutazione di quante risorse dedicare ad un particolare processo di aggiornamento si tiene conto certamente del livello di rischio che corrono i clienti: se questo è davvero elevato è sicuro che il tutto prende un percorso prioritario e, nei casi più seri, produce un rilascio straordinario. Ti posso dire che non era questo il caso.

  34. Feliciano Intini says:

    @RealENNECI: sull'aspetto delle lingue e il disaccoppiamento credo tu abbia ragione, sono io che ignoro gli internals di Windows a livello applicativo per poter dire da quale versione di Windows questo accada. Io però mi riferivo alla necessità di verificare la compatibilità applicativa con una serie elevata di programmi mission critical, e, ripeto, non credo che le piattaforme Linux abbiano questa necessità di testing nella stessa misura.

  35. Feliciano Intini says:

    @Sfanala: io avrei dovuto rispondere prima, è sacrosanto, ma non mi sembra che tu possa parlare di stile visto che commenti in anonimo