e-Gov

Windows 8 e Internet Explorer 10, già una falla zero day

Le difese di Windows 8 e Internet Explorer 10 sono già cadute . L'ha fatto Vupen, una società francese che si dedica a trovare falle nei software più popolari e a rivendere le informazioni a terze parti. In questo come in altri casi, i tecnici Vupen hanno usato diverse falle note solo a loro per mettere a segno un colpo contro il nuovo sistema operativo Windows.

"La nostra prima 0day per Win8+IE10 con HiASLR/AntiROP/DEP e aggiramento della modalità protetta con Sandbox (Flash non serve) è pronta per i nostri clienti. Benvenuto #Windows 8", si legge infatti sull'account Twitter dell'azienda.

Anche Windows Phone 8 avrà lo stesso problema?

Le falle scovate e sfruttate da Vupen purtroppo per ora restano aperte, perché l'azienda non dirà nulla a Microsoft. Bisognerà quindi attendere – non si sa quanto – prima di vedere una correzione ufficiale. Fino ad allora purtroppo bisognerà considerare il pericolo "dietro l'angolo", ma l'effettiva portata del rischio è tutta da valutare.

Non è per nulla scontato infatti che eventuali criminali riescano a ripetere l'impresa di Vupen. In casi come questi vale piuttosto la pena di domandarsi a chi vadano le informazioni. Vupen s'impegna a diffondere le informazioni in modo responsabile, ma una volta che le ha vendute a un cliente "sicuro" purtroppo non c'è molto che si possa fare per essere certi che i protocolli di sicurezza siano rispettati.

In ogni caso Microsoft continua a lavorare con impegno per rendere i propri prodotti più sicuri, a partire proprio dal sistema operativo e dal browser, e i risultati sono evidenti. A certificarli c'è Kaspersky, che nei dati statistici nel terzo trimestre 2012 segnala che tra le prime dieci vulnerabilità in classifica non ce n'è nessuna che interessa applicazioni Microsoft.

Le prime dieci posizioni sono infatti occupate da Java (Oracle), Reader e Acrobat (Adobe), Flash (Adobe), QuickTime (Apple), iTunes (Apple), Winamp e Shockwave (Adobe). È bene chiarire che i dati dell'azienda russa indicano la diffusione delle vulnerabilità su base percentuale, cioé quanti dei computer presi in esame presentavano tali falle, generalmente perché non aggiornati.