hit counter
Microsoft Security Advisory sull’Help and Support Center - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Microsoft Security Advisory sull’Help and Support Center

Microsoft Security Advisory sull’Help and Support Center

  • Comments 36
  • Likes

[English readers: you can find English links in this post for your convenience]

Vi rilancio il post del Microsoft Security Response Center (MSRC) che ha comunicato il rilascio del “Microsoft Security Advisory (2219475) - Vulnerability in Windows Help and Support Center Could Allow Remote Code Execution” per segnalare la fase di analisi della vulnerabilità nell’applicazione di Help and Support Center presente in Windows XP e Windows Server 2003:

The Microsoft Security Response Center (MSRC) Blog: Security Advisory 2219475 Released

E’ molto importante che leggiate anche il post preliminare del MSRC e quello di approfondimento dell’SRD:

MSRC post: Windows Help Vulnerability Disclosure

SRD post: Help and Support Center vulnerability full-disclosure posting

Poi lascio a voi commentare come si possa giudicare l’operato di Google al riguardo…

Feliciano

Other related posts/resources:

Comments
  • Premessa: non ho letto TUTTO l'affaire, principalmente i commenti come questo

    il comportamento di bigG non e' sicuramente fantastico.

    Vero e' anche che da qualcuno debbono avere imparato. Con poche aziende come MS  ho avuto tanti problemi di comunicazione e bastoni fra le mie ruote. Se da piccolo free lance dovessi diventare un'impero ' vi assicuro che farei nei vs confronti la stessa cosa.

    Non e' cattiveria, ripicca o simili e' semplicemente che MS ha dettato degli standard non solo riguardo agli "oggetti" ma anche ai rapporti.

    Sbaglio qualcosa?

  • Claudio, se Microsoft ha sbagliato nei tuoi confronti sono il primo a rammaricarmene e a scusarmi per suo conto, anche se, lavorando tutto il giorno per contribuire al suo miglioramento, mi piacerebbe entrare nel merito per capire chi di noi e come/quando ha causato questo tuo malumore... e provare a cambiare le cose.

    Detto questo, scusami ma non condivido assolutamente che il confronto competitivo si faccia sulla pelle degli utenti.

  • I "problemi di comunicazione" sono tipici delle aziende pubbliche, monopoliste o che "credono" di essere il riferimento di mercato. Tre categorie che sono gia' nella fase di declino e scomparsa.

  • Elegante provocazione Esprit, complimenti :-) secondo te Google in quale di queste categorie ricade?

  • ma dai.. avete migliaia di programmatori al vostro servizio, il codice sorgente dell'applicazione che genera il problema e in 5 (cinque) giorni non riuscite a risolverlo, lamentandovi del dito che indica la luna.. perlomeno incassate in silenzio e lavorate alacremente sulla cosa.. mah..

  • mar10, lo dico davvero con tutto il rispetto, ma se sei davvero convinto di quello che hai scritto (e non vuoi generare flame), forse non hai chiaro di come funzioni il processo di TEST di un aggiornamento di sicurezza per un'azienda che gestisce così tante versioni di software e su più di 20 lingue diverse...

  • In nessuna delle tre per ora.

    Ma appena entra in una delle categorie diventa soggetta a declino e scomparsa.

    A meno che cerchi di fare accordi con altre aziende appartenenti alle stesse categorie, principalmente pubbliche (l'unica delle tre categorie che controlla le altre due).

    Ma allora è solo sopravivenza, e come tale è solo un "allungamento" del periodo di scomparsa.

    Comunicare e confrontarsi è l'unica soluzione.

  • Esprit, non condivido la prima affermazione, ma sono con te tutta la vita sull'ultima, magari aggiungendo un ", con rispetto reciproco" alla fine della frase.

    Grazie dei tuoi commenti

  • A mio avviso la frase "Poi lascio a voi commentare come si possa giudicare l’operato di Google al riguardo…" è faziosa e, a questo punto, mi chiedo che fine faccia quel "rispetto reciproco" di cui all'intervento precedente.

    Innanzitutto un Ingengere di Google non è Google e dubito che Tavis Ormandy abbia agito in nome dell'azienda nel pubblicare la falla.

    A tal proposito se io reputassi irriverente (nonchè perentoria) la frase di cui sopra potrei attribuirla a Microsoft stessa (cosa che mi guardo bene dal fare).

    Signori, prendiamo le cose per quel che sono cercando di dare informazione, anche critica, ma senza scadere nella provocazione che non giova a nessuno.

    Che la pubblicazione dell'exploit (reperibile agli indirizzi seclists.org/.../205 e archives.neohapsis.com/.../0197.html) a soli 5 giorni dalla comunicazione a Microsoft sia prematura e poco etica è anche ammissibile fermo restando, però, che c'è da chiedersi quale sia il tempo massimo da attendere prima di pubblicare un'exploit o un proof-of-concept del genere.

    Lungi da me fare dell'ulteriore polemica o provocazione, ma tra violazioni di diritti, leggi a buon mercato, licenze (perfino GPL) violate, tuonanti accuse tra le parti più diverse e mancanza di buonsenso a volte viene da chiedermi se non sia meglio non averla affatto un'etica.

  • La cosa positiva è che giorno dopo giorno MicroZoFt diventa sempre più ridicola...

    Avanti così!

  • Salve,

    sono un freelance che lavora nel 90% dei casi con tecnologie Microsoft in ambienti di grandi dimensioni pubblico e privato. In merito a questo articolo di Feliciano, che apprezzo come professionista, volevo solo porvi una semplice domanda, immaginate voi, di essere degli IT manager o degli amministratori di sistema e un personaggio di questi ogni tanto divulga pubblicamente informazioni delicate sopra le funzionalità e le vulnerabilità che potrebbero colpire i vostri sistemi, indipendentemente dalla loro buona progettazione, operatività e vendor. Ora oltre a pararmi dai dei delinquenti informatici devo pararmi dagli  smanettoni, dai lamer e non sò chi altro possa leggere un articolo di sicurezza informatica.

    E' eticamente scorretto da parte del professionista divulgare queste informazioni, poi non credo che Google approvi questa politica.

    saluti

  • Ciao Feliciano, ci siamo incrociati diverse volte in convegni e tavole rotonde organizzate da amici comuni.

    Ho provato a contestualizzare il momento non facile che stanno vivendo i colossi e l'ho fatto con un post dettagliato e circostanziato sul mio blog. Non so se ti arriva il pingback, non ho trovato il modo di inviarti un trackback quindi riassumo e ti lascio il link alla fine. Credo che 4 giorni siano stati abbastanza pochi e ritengo che ahinoi non siete abituati a rispondere in così poco tempo. E' evidente che il precedente del bug del kernel NT per la compatibilità alle applicazioni a 16 bit che coinvolge TUTTI i sistemi MS dal 1993 in poi, credo abbiano un po' cambiato le carte in tavole. Quattro giorni posso capire siano un po' una provocazioni ma anni di silenzio (e mesi consapevolmente a quanto pare) sono decisamente troppi. Ad ogni modo, circostanziato e dettagliato con una punta di amara consapevolezza: blog.armandoleotta.com/.../ricercatore-di-google-scopre-nuova-falla-in-windows-xp-e-windows-server-2003-helpctr-exe-e-microsoft

    Saluti,

    Armando Leotta

  • ben vengano personaggi come il ricercatore in oggetto, e' grazie a tipi come lui se le aziende si sforzano piu' di quanto vorrebbero

    patch per linux a volte vengono rilasciate a poche ore dalla scoperta della falla... certo mi si dira' che Microsoft ha la responsabilita' verso clienti ecc. e sono d'accordo:

    Microsoft ha delle responsabilita', e' in grado di prendersele oppure no?

  • secondo me bigG ha fatto bene a segnalare l'exploit, affinche microsoft possa correggere il problema.

    ma non vi ricordate che nelle ultime settimate google ha deciso di rimuovere windows dai suoi uffici, perchè poco sicuro.

    secondo me google si è impegnato a trovare di proposito una falla per dimostrare a microsoft che windows non è sicuro....

  • scusatemi, ma non ho colto il problema "relazionale" ( tralasciando il reale problema del bug...)

    COSA AVREBBE DOVUTO FARE QUESTO INGEGNERE DI GOOGLE PER COMPORTARSI IN MODO RITENUTO CORRETTO???

    FARVELO SAPERE PRIMA A VOI, E SOLO SUCCESSIVAMENTE PUBBLICARE LA NOTIZIA????

    non preoccupatevi, credo non capiterà più che un ingegnere google scoprirà falle in windows...in quanto fra poco a google NESSUNO, completata la transizione, userà più prodotti microsoft....

    punto-informatico.it/.../google-non-piace-windows.aspx

    mentre, finchè microsoft mi darà problemi in quanto "non concepiscono" (parole del "supervisore Francesco, supporto tecnico xbox ..) il cambiamento di nazione, e che non sanno che in svizzera si parla anche italiano(lingua ufficiale riconosciuta in svizzera....it.wikipedia.org/.../Svizzera)....e quindi o ti becchi le cose in francese e tedesco, oppure metti la nazione italia e hai problemi nel scaricarti cose PAGATE comprando un gioco xbox....

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment