Quello di martedì scorso è stato uno dei “patch day” più imponenti per la storia di Microsoft. La società di Redmond ha infatti rilasciato 12 aggiornamenti di sicurezza che, complessivamente, consentono di risolvere qualcosa come 57 vulnerabilità scoperte in Windows, Internet Explorer, Office ed in altri prodotti (“Patch day” Microsoft di febbraio: dodici aggiornamenti).
A due giorni dal rilascio delle patch, c’è però un interessante “retroscena” da registrare. Qual è l’azienda che ha collaborato maggiormente con Microsoft segnalando le varie lacune di sicurezza? Google.
Sì, Mateusz Jurczyk, uno degli ingegneri di Google maggiormente attivi sul tema della sicurezza software, ha evidenziato ben 32 delle 57 vulnerabilità adesso sanate da parte dei tecnici Microsoft. Un secondo ingegnere Google, Gynvael Coldwind, ha collaborato nell’individuazione di cinque bug.
Questo mese, il contributo proveniente da Google ha superato tutti i precedenti record facendo sfiorare a Microsoft il massimo numero di vulnerabilità sanate nel corso di un unico “patch day” (64 bug). Non è dato sapere il motivo di un impegno così intenso da parte degli ingegneri di Google nell’individuazione delle falle di sicurezza presenti negli altrui prodotti: è possibile che i bug siano venuti a galla durante lo sviluppo di alcune funzionalità più evolute di Chrome quali il lettore PDF integrato nel browser.
“Guardare alla sicurezza degli utenti della Rete è per noi una priorità; ciò implica un’attenzione particolare non solo nei confronti dei nostri prodotti ma anche di quelli altrui“, ha affermato un portavoce di Google. “Segnaliamo molto di frequente tutte le vulnerabilità che rileviamo durante i test dei nostri prodotti sulle varie piattaforme software“.
Il rapporto tra Google e Microsoft in tema di sicurezza non è da sempre idilliaco. Tutt’altro. A giugno 2010 un ingegnere di Google segnalò l’individuazione di una pericolosissima vulnerabilità in Windows. I responsabili di Redmond bollarono l’azione di Tavis Ormandy, questo il nome del noto ricercatore, come “irresponsabile” (Già bersagliata la falla nella guida in linea di Windows). Ormandy, infatti, concesse a Microsoft solo cinque giorni di tempo per sanare la lacuna di sicurezza decidendo poi di rendere pubblicamente disponibile il codice exploit per sferrare un attacco “vincente”.
Ormandy si difese giustificando il suo comportamento e dichiarandosi “stanco di negoziare il rilascio di aggiornamenti nel giro di 60 giorni“.
A luglio 2012, Microsoft passò al contrattacco sostendendo di aver scoperto una botnet capace di inviare spam e malware dai dispositivi mobili a cuore Android. Google ha sempre negato l’accusa.