Non soltanto bollettini di sicurezza riguardanti i propri prodotti ma anche quelli sviluppati e commercializzati da terzi. E’ questa la nuova filosofia di Microsoft che ha recentemente presentato un’iniziativa (“Coordinated Vulnerability Disclosure“) tesa a migliorare la sicurezza dei propri sistemi operativi. La presenza di un gran numero di applicazioni sviluppate da altri produttori, rende sempre più impellente la necessità di controllarne il livello di sicurezza, assicurandosi che esse non contengano vulnerabilità sfruttabili da parte degli aggressori, soprattutto in modalità remota.
I primi due bollettini pubblicati dal colosso di Redmond sul proprio sito web riguardano Google Chrome ed Opera (MSVR11-001 e MSVR11-002).
Entrambe le lacune di sicurezza sembrano interessare versioni ormai superate dei browser web Chrome ed Opera. Stando a quanto riportato in calce alle due pagine, inoltre, entrambe le vulnerabilità sarebbero state scoperte dai tecnici di Microsoft e già risolte dal team di sviluppo di Google ed Opera.
La politica seguita da Microsoft per quanto concerne la diffusione dei dettagli tecnici relativi ai bug di sicurezza scoperti nei propri prodotti così come nei software altrui è illustrata in questo documento in formato docx. La società di Redmond, come da tempo richiede di fare ai ricercatori nei confronti delle sue applicazioni, ha spiegato che la nuova iniziativa sarà orientata alla massima correttezza e trasparenza in modo da permettere alle aziende interessate di rilasciare tempestivamente delle patch risolutive.
Microsoft si riserva il diritto di pubblicare delle informazioni circa una vulnerabilità nel caso in cui questa dovesse essere già nota pubblicamente, qualora fossero in corso degli attacchi oppure se la società produttrice del programma non inviasse alcun tipo di riscontro.
Da parte nostra ci auguriamo che nel prossimo futuro Microsoft possa inserire nei suoi sistemi operativi un meccanismo in grado di verificare la disponibilità di aggiornamenti indispensabili per mettere in sicurezza le applicazioni sviluppate da terzi. Al momento, infatti, Windows è in grado di controllare la disponibilità di aggiornamenti e patch di sicurezza per i software targati Microsoft ma non mette a disposizioni strumenti per il controllo dei software altrui.
Come spesso ricordato, se fosse il sistema operativo a farsi carico degli aggiornamenti relativi all’intero parco software installato, si otterrebbero enormi benefici in termini di sicurezza: gli utenti, infatti, indotti ad installare gli update, non tralascerebbero la loro applicazione, evitando quindi che vulnerabilità note possano essere sfruttate per aggredire le loro macchine e, ad esempio, sottrarre dati personali.