[Discussioni] [Fwd: [FSFE PR][EN] Windows 7 to hit consumers with known security problem]

Giacomo Poderi poderi1980 a yahoo.it
Mar 20 Ott 2009 22:43:44 CEST 

Marco Ermini wrote:
> 2009/10/20 Giacomo Poderi:
> [...]
>> Following responsible disclosure practices, the BSI has not published
>> details in its announcement (English translation below) from October 6.
>> While it is generally a good strategy to give vendors time to repair
>> vulnerabilities before announcing them publicly, in this case the BSI
>> should consider publishing the full details of the problem to put more
>> pressure on Microsoft. The agency says that the security hole affects
>> Windows 7 and Windows Vista in both their 32-bit and 64-bit versions, as
>> well as Windows Server 2008. This vulnerability is different from an
>> earlier SMB2 issue [2] for which Microsoft published the patch MS09-050
>> in September.
> [...]
> 
> Quanta confusione!

In effetti...non capisco il punto del tuo commento.

> Le vulnerabilità sono ben note tanto che esistono, gugolando, tutti i
> dettagli disponibili ed esiste un exploit già sviluppato per
> Metasploit.

> Il rimedio è semplice: disabilitare SMB2, che comunque non ha senso se

Certo, staccare la spina è il bug-fix universale, ma a due giorni dal lancio di 
Windows 7, magari ci si aspetta un po' di più.

Inoltre, dato che BSI ha rispettato la buona pratica del caso (non rivelare i 
dettagli) si presume che abbia rispettato anche l'altra buona pratica 
(notificare il produttore prima dell'annuncio pubblico).

Si ritiene che Microsoft sapesse già del problema da qualche giorno (prima del 
'patch-day' di ottobre), se non grazie ai propri tecnici quanto meno perchè 
gliel'ha detto BSI.

A rinforzare il sospetto viene in aiuto l'aneddoto linkato in nota [3] del 
comunicato, relativo ad una ulteriore vulnerabilità di SMB2, ma sempre collegata 
al MS09-050. (proprio sicuro come protocollo :-/ )

> Inoltre non c'è nessuna "nuova" e "misteriosa" vulnerabilità. Il
> bollettino Microsoft è sempre lo stesso, è il citato MS09-050 ed è
> rated "Critical" (più alto che per BSI, lol :-)) da Microsoft stessa.
> Il bollettino è originario dell'8 Settembre ed è stato aggiornato il
> 13 Ottobre con nuovi dettagli, ma è sempre lo stesso.

No. Quello segnalato da BSI è un altro. Come detto nel testo del comunicato e 
nel rapporto BSI.

> Lo trovate qua: http://www.microsoft.com/technet/security/bulletin/ms09-050.mspx

Sì, quello è stato corretto (nota [2] del comunicato).


Saluti
gp

More information about the discussioni mailing list