Windows 10, scoperta grave falla di sicurezza in software integrato
I software di terze parti integrati nativamente sui sistemi operativi aumentano la versatilità di questi ultimi, ma procurano ansie e nervosismo agli esperti di sicurezza. Questo perché sono una delle principali fonti di vulnerabilità per il sistema, e perché al tempo stesso sono difficilmente gestibili da parte delle compagnie coinvolte. Microsoft lo ha scoperto nel modo peggiore nel corso del fine settimana quando Tavis Ormandy, ricercatore di Google, ha scoperto che una immagine di Windows 10 veniva fornita con un password manager di terze parti “bucato”.
Keeper nascondeva un plug-in per browser con un difetto nella maglia di sicurezza per il quale un sito malevolo sviluppato ad-hoc poteva ottenere le password integrate al suo interno. L’immagine colpevole di tutto ciò era per fortuna rivolta agli sviluppatori e diffusa via MSDN, tuttavia alcuni utenti di Reddit hanno fatto notare che hanno ricevuto la copia vulnerabile di Keeper dopo aver eseguito una reinstallazione pulita di copie regolari di Windows 10 Pro, e anche su computer nuovi. Un portavoce di Microsoft ha comunque fatto notare che il problema è stato risolto.
Il team alla base di Keeper ha prontamente corretto l’exploit scoperto da Ormandy e rilasciato la patch, quindi chi utilizza il password manager può semplicemente aggiornarlo all’ultima versione disponibile per evitare il problema di sicurezza. Inoltre, solo gli utenti che utilizzavano il plug-in per il browser sono stati esposti alla vulnerabilità. È chiaro che dopo un caso di questo tipo sorge spontanea la domanda: i test di sicurezza di Microsoft per le applicazioni di terze parti sono sufficientemente rigidi come quelli operati sul software nativo?
Microsoft non ha ancora rivelato come il bug sia passato inosservato e inserito all’interno della specifica immagine di Windows 10, e in quali condizioni i computer installano l’applicazione al primo avvio. Come abbiamo già scritto alcuni utenti si sono ritrovati con Keeper installato sul proprio sistema senza volerlo e, sebbene il rischio di sicurezza sia passato, è chiaro che Microsoft dovrebbe confermare le esatte condizioni in cui avviene l’installazione del password manager. (fonte)
