Oggi si parla di Google e Microsoft. Un ingegnere della sicurezza di Google in Svizzera ha avvisato Microsoft di una vulnerabilità in Windows XP, ma dopo che non è stata fixata entro cinque giorni, è andato pubblico con il sogno dell’hacker andato a farsi benedire.
Tavis Ormandy era l’ingegnere di Google che ha scoperto il buco in XP nella Guida in linea e supporto tecnico di Windows, che di norma aiuta le persone a scaricare documenti da internet, se necessario. Il buco però (in caso si sa cosa si sta facendo), consente di scaricare più di un semplice file di help – si potrebbe infatti “eseguire comandi arbitrari con i privilegi dell’utente corrente”, secondo l’ingegnere, con i PC che eseguono Windows XP SP2 e SP3 e browser IE7 o IE8.
Mentre rendere pubblica una cosa del genere prima che la falla venga chiusa, Ormandy crede che fosse l’unico modo per attiare l’attenzione di Microsoft, piuttosto che accantonare il problema: “Se avessi riportato il tutto senza un lavoro a valorizzare le mie parole, sarei stato ignorato”, ha scritto nella newsletter email Full Disclosure. Microsoft comprensibilmente ha risposto al colpo, con Jeff Bryant, gestore del gruppo al Microsoft Security Response Center, che fa notare la sua preoccupazione “circa la divulgazione al pubblico di questo problema”.
Gli esperti di sicurezza chiedono ora a gran voce una impiccagione pubblica (licenziamento) di Ormandy, con l’amministratore delegato di SecTheory, Robert Hansen, che senza mezze parole dice che dovrebbe essere licenziato. Al posto di quel ragazzo avreste reso pubblica una falla prima di contattare i diretti interessati per fargli porre rimedio?
