Microsoft e Google, il bug della discordia

5 gen 2011 · News ed Eventi

Quel che sembra certo è che Internet Explorer sia vittima di un altro caso di vulnerabilità zero-day. Resta da capire chi lo abbia scoperto, e se i dettagli siano finiti in mani (cinesi) sbagliate

Roma – L’ennesima falla “zero-day” individuata in Internet Explorer porta a un piccolo scontro diplomatico tra Microsoft e Google, con la prima che contesta la versione dei fatti di Michal Zalewski (ingegnere della seconda) e l’ipotesi che la vulnerabilità sia stata individuata “indipendentemente” da ignoti cracker cinesi.Redmond e Mountain View sono prima di tutto in disaccordo sul ruolo giocato nella vicenda da cross_fuzz, il tool ideato da Zalewski nel suo tempo libero e pensato per l’individuazione automatizzata di potenziali problemi di sicurezza all’interno dei browser più usati (Firefox o lo stesso Internet Explorer, ad esempio).

IE, neanche a dirlo, ha fatto incetta di vulnerabilità risultando “bucato” per quasi 100 diverse istanze nei dati sin qui raccolti da cross_fuzz. I dettagli di uno di questi bachi, concernente “un crash chiaramente sfruttabile” da parte di malintenzionati, sono stati “involontariamente” rivelati a qualcuno dotato di un IP cinese, denuncia ora Zalewski.

I log di navigazione mostrano che il server contenente le informazioni incriminate è stato visitato dall’ignoto IP asiatico di cui sopra, dice l’ingegnere di Google. Ma il navigatore è finito sulle macchine di Mountain View cercando riferimenti alla vulnerabilità di IE, e il fatto che al tempo le uniche informazioni indicizzate fossero quelle pubblicate da Google lascia intendere – dice sempre Zlewski – che il cracker avesse già individuato in precedenza il baco con strumenti diversi da cross_fuzz.

Microsoft, invece, dice di non aver al momento informazioni riguardanti la parentela tra il lavoro di indagine fatto da cross_fuzz ed eventuali attacchi o exploit esterni. Zlewski sostiene di aver rilasciato la nuova versione di cross_fuzz a inizio anno, ma da Redmond dicono invece che l’utilizzo di tale release e delle informazioni sul baco vada retrodatato al 21 dicembre scorso. Le date non coincidono, mentre le indagini sono tutt’ora in corso.

Alfonso Maruccia

Punto Informatico



  1. Facebook supera Yahoo!, terzo dietro Google e Microsoft
  2. HTML5 Labs, Microsoft gioca coi prototipi
  3. Microsoft: problemi Hotmail risolti
Tags: ,