Microsoft definisce "deludente" la divulgazione dell'exploit Zero Day di Google da parte di Google e non menziona espressamente miliardi di telefoni Android senza patch

Casa » Microsoft

Icona del tempo di lettura 4 minuto. leggere

Icona del calendario Edizione del

by Surur Davids 

pubblicato su

Condividi questo articolo

I lettori aiutano a supportare MSpoweruser. Potremmo ricevere una commissione se acquisti tramite i nostri link. Icona descrizione comando

Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più

finestre 10

Google ha recentemente rivelato una vulnerabilità di 0 giorni senza patch in Windows dopo aver concesso a Microsoft solo 7 giorni dalla notifica per il rilascio di una patch.

Ciò ha comportato il rilascio delle informazioni sull'hacking in natura prima che Microsoft potesse sviluppare una patch, mettendo a rischio un miliardo di utenti Windows.

La scusa di Google era che il buco era già stato attivamente sfruttato, ma in una risposta oggi il vicepresidente esecutivo di Microsoft, Windows and Devices Group, Terry Myerson ha difeso Microsoft ed ha espresso disappunto per il comportamento di Google.

Microsoft ha spiegato che gli exploit in natura erano i cosiddetti attacchi di "spear-phishing", ad es. inviato a persone specifiche a basso volume, piuttosto che essere ampiamente distribuito al pubblico in generale.

Inoltre, gli utenti Microsoft dell'ultima versione di Windows 10, l'aggiornamento dell'anniversario di Windows 10, che utilizzano anche Edge, era già protetto. A causa degli sforzi di Microsoft per forzare il roll-out degli aggiornamenti, ora chiaramente mostrati come una buona idea, già il 76% degli utenti di Windows 10 utilizza l'ultima versione, secondo i dati di AdDuplex.

Terry ha affermato che Windows era l'unica piattaforma con l'impegno di indagare sui problemi di sicurezza segnalati e aggiornare in modo proattivo i dispositivi interessati il ​​prima possibile e ha affermato che una patch era già in fase di test per il rilascio l'8 novembre, ovvero Patch Tuesday.

Di conseguenza, Terry ovviamente ha suggerito che Google non ha preso la propria responsabilità nei confronti degli utenti Android con la stessa serietà, con una grande percentuale di utenti Android su versioni precedenti del sistema operativo che non hanno aggiornamenti del sistema operativo.

Inoltre, gli utenti Windows possono notare che Edge ha offerto una difesa approfondita implementando misure di integrità del codice e altre procedure di sicurezza chiaramente non praticate dal browser Chrome di Google.

Microsoft ha consigliato a tutti i clienti di eseguire l'aggiornamento a Windows 10, definendolo il sistema operativo più sicuro che abbiano mai realizzato, completo di protezione avanzata per consumatori e aziende a ogni livello dello stack di sicurezza.

La visione di Microsoft di un miliardo di utenti Windows che eseguono tutti l'ultima versione del sistema operativo, che sono tutti automaticamente aggiornati, significa che nei prossimi anni Windows potrebbe guadagnarsi la reputazione di sistema operativo più sicuro da utilizzare.

Leggi il post completo di Terry Myerson di seguito:

Windows è l'unica piattaforma con l'impegno del cliente a indagare sui problemi di sicurezza segnalati e ad aggiornare in modo proattivo i dispositivi interessati il ​​prima possibile. E prendiamo questa responsabilità molto seriamente.

Di recente, il gruppo di attività che Microsoft Threat Intelligence chiama STRONTIUM ha condotto una campagna di spear-phishing a basso volume. È noto che i clienti che utilizzano Microsoft Edge su Windows 10 Anniversary Update sono protetti dalle versioni di questo attacco osservate in natura. Questa campagna di attacco, originariamente identificata dal Threat Analysis Group di Google, utilizzava due vulnerabilità zero-day in Adobe Flash e il kernel di Windows di livello inferiore per prendere di mira un gruppo specifico di clienti.

Ci siamo coordinati con Google e Adobe per indagare su questa campagna dannosa e creare una patch per le versioni di livello inferiore di Windows. In questo senso, le patch per tutte le versioni di Windows vengono ora testate da molti partecipanti al settore e prevediamo di rilasciarle pubblicamente il prossimo aggiornamento martedì 8 novembre.

Riteniamo che la partecipazione responsabile del settore tecnologico metta il cliente al primo posto e richieda una divulgazione coordinata delle vulnerabilità. La decisione di Google di rivelare queste vulnerabilità prima che le patch siano ampiamente disponibili e testate è deludente e espone i clienti a un rischio maggiore.

Per affrontare questi tipi di attacchi sofisticati, Microsoft consiglia a tutti i clienti di eseguire l'aggiornamento a Windows 10, il sistema operativo più sicuro che abbiamo mai realizzato, completo di protezione avanzata per consumatori e aziende a ogni livello dello stack di sicurezza. I clienti che hanno abilitato Windows Defender Advanced Threat Protection (ATP) rileveranno i tentativi di attacco di STRONTIUM grazie all'analisi di rilevamento del comportamento generico di ATP e alle informazioni aggiornate sulle minacce.

- Terry

Leggi di più sull'exploit e Le misure di mitigazione di Microsoft qui.

Maggiori informazioni sugli argomenti: 0 giorni, google, microsoft, vulnerabilità, finestre, Kernel di Windows, Vulnerabilità di Windows

Surur Davids

Surur Davids Scudo

Esperto di smartphone

Surur Davids è il fondatore di WMPoweruser che in seguito divenne MSPoweruser.com. È un esperto di smartphone con oltre un decennio di esperienza.