Disinformazione a gogo: quando le notizie sono fresche di giornata ...

Scusate se colgo nuovamente spunto da un post di DownloadBlog per puntare il dito (con disappunto...)su chi fa vera e propria disinformazione: se qualche giorno fa è toccato a Symantec, oggi tocca ad una news di Yahoo, che ha ripreso a sua volta un articolo di PCWorld.com.

Punto di partenza per questa mini-indagine è stata la lettura del post di oggi, 23 maggio 2007 (fate caso alle date che sono importanti), dal titolo "Microsoft risolve un altro buco in Windows". Mi sono detto: sono sicuramente ignorante su tutto lo scibile di sicurezza, ma sul tema vulnerabilità di Microsoft credo di poter dire la mia, visto che è il mio pane quotidiano da 7 anni (sarà per questo che qualche collega qui in Microsoft mi ha anche soprannonimato Bulletin Man :-) ?).  Posso quindi permettermi di sapere, direi con certezza matematica, che Microsoft NON ha emesso dei bollettini di sicurezza in questi giorni: di quali vulnerabilità stanno parlando ?? (tra parentesi sono anche ben dettagliate con tanto di componenti interessati, versioni di prodotti Microsoft vulnerabili, e segnalazione di patch da scaricare - dove, non si sa). Il post di DownloadBlog non usa riferimenti: né numeri di bollettini, né codici CVE. Per fortuna cita la fonte: una news di Yahoo del 21 maggio 2007, lunedì scorso. Risaliamo il fiume a ritroso e leggiamo la news di Yahoo: ancora nessuna traccia di riferimenti precisi alle vulnerabilità. Noto che la news in realtà riprende un articolo di PcWorld, ma non c'è un link diretto alla fonte. Vado su PcWorld e cerco l'articolo usando il titolo come chiave di ricerca (sembra una caccia al tesoro): trovato ! L'articolo è sempre di questo lunedì, 21 maggio 2007, e finalmente trovo, per due vulnerabilità di quelle elencate, i link che puntano a dei bollettini Microsoft: seguo i link e ... surprise! Mi ritrovo sui bollettini MS07-020 e MS07-021: sono bollettini usciti il 10 aprile 2007, ben 40 giorni fa prima dell'articolo che ne parla come se fossero usciti ieri (li ho spiegati qui)!!! Se non volessi vedere la malafede, di sicuro si potrebbe parlare di "giornalismo" inutile: che senso ha commentare oggi dei bollettini di aprile, tenendo conto che ne sono usciti altri a maggio ??? Non so per voi, ma per me è solo tendenzioso ...

Approfitto quindi per ricordare ancora una volta: vulnerabilità corretta = bollettino ; vulnerabilità resa pubblica ma non ancora corretta = advisory.  E qui trovate i link per recuperare le rispettive liste.

Mi dispiace dover fare una bonaria tiratina d'orecchie a DownloadBlog: a parte l'atteggiamento, che non condivido, di postare una notizia senza verificarne l'attendibilità, non posso far passare le informazioni palesemente errate che danno a Microsoft la responsabilità del bug di Photoshop (!!!) e del bug nell'ActiveX di Yahoo!Messenger (!!!). Se leggete l'articolo di PcWorld si segnala appunto di fare riferimento ai rispettivi produttori, Adobe e Yahoo, per un aggiornamento.

Considerazioni finali: possibile che debba sempre essere colpa di Microsoft ? E ancora una volta: l'utente ignaro che si fida di questo tipo di "giornalismo" che idea si fa, se nessuno gli spiega la verità ?

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS