Il nuovo Office 2010 ha due falle, ma chi le ha trovate non ha collaborato con Microsoft, che si è risentita. I ricercatori dell'azienda Vupen Security hanno scoperto una falla che riguarda la corruzione della memoria e che potrebbe essere usata per eseguire codice maligno. La seconda vulnerabilità è stata scovata in seguito all'interno di Word 2010, ma non ci sono al momento ulteriori dettagli.
Vupen Security ha dichiarato il 22 giugno di avere creato un codice per sfruttare una falla di Office 2010 che supera le tecnologie di sicurezza DEP (Data Execution Prevention) e Office File Validation.
"Sfruttare questa vulnerabilità non è banale in quanto molte caratteristiche di sicurezza sono attivate come impostazione predefinita in Office 2010 inclusa la DEP e la Office File Validation e Protected View", ha dichiarato Chaouki Bekrar, amministratore delegato di Vupen Security. "Tuttavia siamo stati in grado di eseguire codice grazie a un documento Excel confezionato ad hoc".
Trovare falle è sempre apprezzabile, ma Vupen non ha fornito dettagli a Microsoft sulle vulnerabilità . "Microsoft è consapevole della vulnerabilità ma non ha dati per confermare le affermazioni", ha dichiarato Jerry Bryant di Microsoft. "Per minimizzare i rischi Microsoft continua a incoraggiare una comunicazione responsabile. Riportare le falle direttamente ai produttori aiuta a fornire agli utenti aggiornamenti completi prima che i cybercriminali lavorino a un exploit per quella vulnerabilità ".
Chaouki Bekrar ha ribattuto che la propria azienda ha sempre seguito il consiglio di Microsoft, tant'è che sono state comunicate a Big M moltissime falle nei mesi precedenti. "Vupen non ha pubblicato né lo farà in futuro alcun dettaglio tecnico riguardante queste vulnerabilità ". "Le usiamo per allertare i produttori, i governi o le forze dell'ordine che sono membri del Vupen Threat Protection Program per permetterli di proteggere infrastrutture nazionali da potenziali attacchi".
"Non abbiamo fornito dettagli sulle vulnerabilità di Office 2010 a Microsoft perché scoprire e ricercare questa vulnerabilità è un processo molto lungo e un importante investimento per Vupen... avere i nostri nomi nella sezione dei ringraziamenti di un bollettino Microsoft come compenso del nostro lavoro non è abbastanza".
Tutta una questione di soldi a quanto pare. Microsoft non ha detto se verserà qualcosa a Vupen per ottenere i dettagli, ma non sembra intenzionata a farlo. L'azienda di Redmond ha ribadito che il produttore del software è nella miglior posizione per capire i rischi per i propri utenti e proteggerli. "I programmi di condivisione delle vulnerabilità che non includono il produttore del software sono rischiosi e non promuovono la sicurezza generale del cliente", ha affermato Jerry Bryant di Microsoft.