È guerra di parole tra Google e Microsoft. Gli esperti di sicurezza di Big G hanno reso noto in queste ore due nuove vulnerabilità “zero-day”, scovate in Adobe Flash e in Windows, sottolineando in un bollettino come le due aziende fossero state informate della scoperta lo scorso 21 ottobre. Da policy, il colosso di Mountain View ha dato sette giorni di tempo ad entrambe per risolvere il bug. Scadenza rispettata da Adobe, che il 26 ottobre ha rilasciato un aggiornamento per chiudere la falla. Ma non da Microsoft, che ha accusato Google di esporre gli utenti a rischi seri perché sviluppare una patch funzionante per un sistema operativo richiede molto più tempo di quella necessaria per un “semplice” software. Interpellata da Engadget, Microsoft ha comunque rassicurato la community, spiegando che il prossimo otto novembre verrà rilasciato un aggiornamento.
Inoltre, ha aggiunto l’azienda, “per eseguire un exploit è necessario prima sfruttare la vulnerabilità di Flash” e “gli utenti che possiedono Windows 10 con l’anniversary update sono al sicuro”. Le uniche persone che dovrebbero preoccuparsi sono quindi tutte quelle che, per vari motivi, non utilizzano un browser in grado di recepire automaticamente gli upgrade di Flash (Chrome ed Edge sono protetti) e/o non hanno installato l’ultima versione del sistema operativo di Microsoft.
E, infatti, sembra che nel frattempo il baco stia già facendo le prime vittime “grazie” al lavoro di alcuni hacker. Ma la diatriba tra Redmond e Mountain View rimane comunque accesa. Anche perché la prima società ha accusato la seconda di aver esagerato nella descrizione del baco. Secondo Big G, il bug porta a un’escalation di privilegi grazie a un difetto presente nel kernel del sistema operativo.
L’exploit può essere portato a termine sfruttando una chiamata di sistema legata al file win32k.sys, che porta a una cosiddetta sandbox escape: tecnica che dà la possibilità alle vulnerabilità presenti nei software di aggirare le sandbox presenti negli applicativi. Strategia seguita in queste ore, secondo quanto dichiarato da Google, dagli hacker. In attesa della patch di Microsoft assicuratevi di avere l’ultima versione di Flash e Windows 10 con l’aggiornamento dell’anniversario.