hit counter
Come si segnala una possibile vulnerabilità di sicurezza a Microsoft - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Come si segnala una possibile vulnerabilità di sicurezza a Microsoft

Come si segnala una possibile vulnerabilità di sicurezza a Microsoft

  • Comments 5
  • Likes
 

Nei giorni scorsi tramite il blog  sono stato contattato da due lettori che mi segnalavano quelle che per loro erano problematiche di sicurezza o vulnerabilità legate alla tecnologia Microsoft. Intanto chiedo loro scusa del ritardo con cui rispondo, non è mia abitudine: nei prossimi due post prendo spunto dalle loro segnalazioni per fare qualche considerazione più generale di sicurezza. 

Le due e-mail però mi hanno fatto riflettere anche sul fatto che forse non è per tutti ovvio cosa si debba fare per segnalare a Microsoft una possibile vulnerabilità di sicurezza. Nonostante io sia comunque sempre disponibile ad indirizzare le segnalazioni che vorrete farmi in futuro, non vorrei rappresentare il collo di bottiglia rispetto alla procedura normale che anch'io utilizzerei per inoltrare le richieste a chi di dovere, e visto che in questi casi la velocità è tutto, è bene che sappiate il modo più corretto per farlo.

 Il gruppo che in Microsoft è deputato a questa attività di indagine e risoluzione delle segnalazioni su possibili vulnerabilità è appunto il già più volte citato Microsoft Security Response Center (MSRC), che da poco più di 2 anni ha anche affiancato un blog alle sue comunicazioni ufficiali classiche (i security bulletin e i security advisory) per fornire una modalità quasi real-time di fornire indicazioni sulle evoluzioni delle vulnerabilità (se volete essere avvisati in modo sollecito di un nuovo post, potete sottoscrivervi al relativo Windows Live Alert): nella scorsa settimana a Redmond ho saputo da loro che nel tempo verrà ulteriormente migliorata la trasparenza delle informazioni interne (e questo trend si nota già nei post dei due ultimi advisory...). A proposito di bulletin e advisory... forse la differenza tra i due non è chiara a tutti:

  • Security Bulletin: documentano la presenza di una o più vulnerabilità di sicurezza in un prodotto Microsoft e ne indicano la risoluzione (che può consistere in una security patch correttiva, o in una operazione di riconfigurazione).
  • Security Advisory: segnalano problematiche di sicurezza che non necessariamente sono classificate come vulnerabilità di prodotto (e quindi non necessariamente produrranno il rilascio di un security bulletin).

Proprio sul blog del MSRC trovate il link alla pagina web che riassume come segnalare una possibile vulnerabilità.  Vorrei farvi notare le due condizioni segnalate come requisiti per procedere a questa segnalazione:

  1. l'anomalia soddisfa la definizione di vulnerabilità di sicurezza fatta dal MSRC
  2. la vulnerabilità non viene spiegata dalle 10 leggi immutabili della sicurezza

Soddisfatti questi requisiti, di fatto il mezzo per operare questa segnalazione è semplice e facile da ricordare: basta mandare una e-mail (in inglese) quanto più dettagliata possibile all'indirizzo: secure@microsoft.com

Questo è il metodo che anche noi dipendenti usiamo per fare tali segnalazioni, e vi assicuro che la risposta del primo contatto di approfondimento arriva davvero entro le 24 ore.

Certo il tema della segnalazione delle vulnerabilità apre la strada al dibattito sempre caldo su quale sia il  tipo di "disclosure" più opportuna, full o responsible, ma di questo forse è il caso di parlarne in un post ad-hoc ...

Comments
  • Le 10 leggi immutabili sulla sicurezza sono un must!

  • Letto, grazie.

    Ho aggiunto il feed RSS del blog MSRC ai miei preferiti!

    PS: le 10 leggi sono uno spettacolo!

  • Come promesso, Microsoft ha rilasciato il tool MOICE per Office 2003 di cui vi ho raccontato in breve in questo mio post. L'annuncio è stato dato tramite l'emissione del Microsoft Security Advisory 937696 (questo a riprova dell'utilizzo degli advisory

  • Scusate se colgo nuovamente spunto da un post di DownloadBlog per puntare il dito (con disappunto...)su chi fa vera e propria disinformazione: se qualche giorno fa è toccato a Symantec, oggi tocca ad una news di Yahoo, che ha ripreso a sua volta un articolo

  • Vi propongo la lettura di un interessante articolo (il primo di una serie di tre pezzi) di Jesper Johansson

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment