Secondo Google, Microsoft lascia utenti di Windows 7 e 8 con falle di sicurezza
Google ha accusato Microsoft di lasciare senza protezione dagli attacchi gli utenti di Windows 8.x e Windows 7, rilasciando aggiornamenti per Windows 10 e lasciando le precedenti versioni alla mercé dei cracker.
Microsoft rilascia, infatti, prima gli aggiornamenti per Windows 10 e, dopo qualche tempo, per Windows 8.x e Windows 7. Questo comportamento permetterebbe, stando al team Google Project Zero, di far sì che i cracker abbiano il tempo di analizzare il codice e ottenere degli attacchi che possono essere portati a termine sulle piattaforme precedenti.
Come afferma Mateusz Jurczyk, ricercatore presso il team di sicurezza Google Project Zero, “Microsoft è nota per la sua pratica di apportare molte migliorie strutturali di sicurezza e talvolta anche sistemazioni di bug normali solo sulla piattaforma Windows più recente. Questo crea un falso senso di sicurezza negli utenti dei vecchi sistemi, e li lascia vulnerabili a imperfezioni nel software che possono essere individuate anche solo individuando piccoli cambiamenti nel codice corrispondente di diverse versioni di Windows.”
Questa tecnica, chiamata patch diffing, è ben nota negli ambienti di ricerca e viene usata proprio per colpire quei sistemi che non sono ancora stati protetti dalle ultime patch di sicurezza. Il problema, come scrive Jurczyk, è che “differenze rilevanti dal punto di vista della sicurezza in rami di un singolo prodotto supportati allo stesso tempo possono essere utilizzate da malintenzionati per individuare debolezze significative o semplici bug nelle versioni più vecchie di tali software. Non solo questo lascia alcuni clienti esposti agli attacchi, ma rivela in maniera evidente quali sono i vettori d’attacco, il che va direttamente contro la sicurezza dell’utenza.”
Il problema di supportare più versioni dello stesso sistema operativo risiede oggigiorno soprattutto nella gestione della sicurezza; lasciare le versioni più datate (ma comunque rilevanti da un punto di vista dell’installato: Windows 7 detiene ancora il 50% del mercato circa) senza protezione per un lasso di tempo superiore a pochi giorni può portare a falle di sicurezza sfruttabili dai criminali anche se già chiuse in versioni successive. Questo è un problema non nuovo e di cui anche Google è responsabile, con politiche riguardo il supporto ad Android che appaiono quantomeno migliorabili.
Microsoft afferma che il suo impegno principale va a Windows 10 e che consiglia a tutti i suoi clienti di aggiornare i propri computer all’ultima versione del software. Sebbene l’azienda abbia fin qui seguito un percorso positivo con Windows 10, un cambio di politica sembra, però, necessario per tutelare tutta l’utenza e non solo quella parte che ha adottato il nuovo software. (fonte)
