Google ha accusato Microsoft di lasciare senza protezione dagli attacchi gli utenti di Windows 8.x e Windows 7, rilasciando aggiornamenti per Windows 10 e lasciando le precedenti versioni alla mercé dei cracker.

Microsoft rilascia, infatti, prima gli aggiornamenti per Windows 10 e, dopo qualche tempo, per Windows 8.x e Windows 7. Questo comportamento permetterebbe, stando al team Google Project Zero, di far sì che i cracker abbiano il tempo di analizzare il codice e ottenere degli attacchi che possono essere portati a termine sulle piattaforme precedenti.

Come afferma Mateusz Jurczyk, ricercatore presso il team di sicurezza Google Project Zero, "Microsoft è nota per la sua pratica di apportare molte migliorie strutturali di sicurezza e talvolta anche sistemazioni di bug normali solo sulla piattaforma Windows più recente. Questo crea un falso senso di sicurezza negli utenti dei vecchi sistemi, e li lascia vulnerabili a imperfezioni nel software che possono essere individuate anche solo individuando piccoli cambiamenti nel codice corrispondente di diverse versioni di Windows."

Questa tecnica, chiamata patch diffing, è ben nota negli ambienti di ricerca e viene usata proprio per colpire quei sistemi che non sono ancora stati protetti dalle ultime patch di sicurezza. Il problema, come scrive Jurczyk, è che "differenze rilevanti dal punto di vista della sicurezza in rami di un singolo prodotto supportati allo stesso tempo possono essere utilizzate da malintenzionati per individuare debolezze significative o semplici bug nelle versioni più vecchie di tali software. Non solo questo lascia alcuni clienti esposti agli attacchi, ma rivela in maniera evidente quali sono i vettori d'attacco, il che va direttamente contro la sicurezza dell'utenza."

Il problema di supportare più versioni dello stesso sistema operativo risiede oggigiorno soprattutto nella gestione della sicurezza; lasciare le versioni più datate (ma comunque rilevanti da un punto di vista dell'installato: Windows 7 detiene ancora il 50% del mercato circa) senza protezione per un lasso di tempo superiore a pochi giorni può portare a falle di sicurezza sfruttabili dai criminali anche se già chiuse in versioni successive. Questo è un problema non nuovo e di cui anche Google è responsabile, con politiche riguardo il supporto ad Android che appaiono quantomeno migliorabili.

Microsoft afferma che il suo impegno principale va a Windows 10 e che consiglia a tutti i suoi clienti di aggiornare i propri computer all'ultima versione del software. Sebbene l'azienda abbia fin qui seguito un percorso positivo con Windows 10, un cambio di politica sembra, però, necessario per tutelare tutta l'utenza e non solo quella parte che ha adottato il nuovo software.

http://www.hwupgrade.it/news/sicurezza-software/

google-accusa-microsoft-gli-utenti-di-windows-7

-e-8-lasciati-con-falle-di-sicurezza_71597.html