La polemica tra Google e Microsoft sulle vulnerabilità di Windows rese pubbliche prima che venissero rilasciate le patch non accenna a placarsi. Nei giorni scorsi infatti, sul blog di Project Zero, la struttura di Google che si occupa delle ricerche sulla sicurezza, sono stati divulgati due nuovi bug individuati lo scorso 17 ottobre e ancora privi di rimedio. Il prossimo “Patch Tuesday” di Microsoft è programmato per il 10 febbraio. Le due vulnerabilità hanno un impatto potenziale diverso. La prima, che sembra anche la più grave, riguarda la funzione CryptProtectMemory, che in alcuni casi potrebbe impedire il corretto riconoscimento dell’utente. Un attaccante potrebbe quindi fingersi utente autorizzato e avere accesso alla macchina. Il problema riguarda Windows 7 e Windows 8.1 nelle versioni a 32 e 64 bit.
Il secondo caso è invece limitato a Windows 7, e potrebbe permettere a un utente non autorizzato di ricavare informazioni sulle impostazioni della gestione energetica della macchina. “Non è chiaro se questo possa avere un impatto negativo rilevante o meno,” si legge sul blog di Project Zero.
La decisione di continuare a rendere pubbliche le vulnerabilità del sistema operativo di Microsoft prima che siano stati rilasciati gli aggiornamenti di sicurezza contribuirà sicuramente ad alimentare la tensione tra le due aziende. Nei giorni scorsi Chris Betz, senior director del Microsoft Security Response Center (Msrc), aveva chiaramente espresso in un post la contrarietà della società nei confronti di questo atteggiamento, auspicando una maggiore collaborazione tra ricercatori di sicurezza e aziende fornitrici di software. Un appello che sembra rimasto inascoltato.