Ancora WMF Exploit
- 10 Gen '06
- 141 visite
- Segui i commenti
A pochi giorni dal rilascio della patch ufficiale dell’ormai arcifamoso bug relativo al formato WMF e all’engine che si occupa della sua interpretazione, ecco spuntare due nuove vulnerabilità che coinvolgono ancora WMF e compagni.
Cara Microsoft, ti costa tanto, una volta saputo che hai un bel buchetto nel tuo caro sistema, darci un’occhiata un attimino più approfondita?
La risposta è sì: ci vogliono risorse impiegate nella ricerca, nell’analisi. E se impegni risorse, impegni tempo. E se impegni tempo, impegni soldi. E dato che i soldi sei interessata solo a farne (come se non ne avessi abbastanza), ti affidi a chi di informatica nel mondo ne capisce meglio di te. Tanto è gratis. E il Windows carissimo lo vendi pure con 12000 buchi. Brava. Bella filosofia. Se solo arrivassi a capire che fornendo qualità i soldi li faresti ugualmente e magari faresti anche una bella figura.
Fonte: OSNews
(votanti: 0, voto medio: 0 su un massimo di 5 )
Basta, vi prego, smettiamola con sto qualunquismo anti-Microsoft.
E’ vero, i sistemi operativi se li fanno pagare per intero, ma hanno anche un dipartimento di ricerca bug che lavora costantemente ai loro prodotti, anche a quelli piu datati.
La vulnerabilità WMF è uscita il 27 dicembre, e la prima versione della patch è uscita il 5 gennaio. Vorrei far notare agli scettici ed agli strilloni che in questo lasso di tempo Microsoft esegue dei test sulle patch per una varietà di sistemi operativi, di versioni e di hardware differenti e non sta di certo con le mani in mano!
Vorrei ricordare una news del 27 dicembre 2005 in cui si diceva che solo “il polverone causato da Linus su GNOME” ha fatto si che il gruppo di sviluppo lavorasse su un bug relativo ai permessi assai vecchio. Ma mi si dirà : beh ma GNOME è open source, non paghi e quindi non devi aspettarti nulla…….
Una azienda che sta sul mercato e si fa pagare i sistemi operativi deve confrontarsi tutti i giorni con chi questi sistemi li acquista, e ne rende conto a loro.
Vi ricordo inoltre che il supporto per NT4 è durato quasi dieci anni!
Inoltre:
1) MS SQL server 2000 ha avuto nel 2005 meno bug di Oracle 9i
2) non mi sembra che Fedora Core 4 sia esente da bug
@Cristiano Flora: non si tratta di qualunquismo. Stai parlando con uno che non prende prese di posizione, ma con uno che con quel sistema ci ha litigato anni, ci ha bestemmiato contro anni prima di potersene liberare. E se ne è liberato solo in parte, visto che cmq mi capita sempre di averci a che fare.
E ti ricordo soprattutto che stai parlando con uno studioso, che focalizza metà dei suoi interessi sullo studio di sistemi operativi. Non far caso alla mia età . So il fatto mio.
L’attuale vulnerabilità riguardanti ai WMF è solo una delle tante riguardante il Graphics Rendering Engine di Microsoft, come potrai notare se ti fai un giro su Google o nello specifico su eEye.com, tra i tanti del settore. Allora quello che critico io è la poca professionalità di Microsoft e la poca cura dell’utente:
1. Dopo i primi exploit (sempre remote code execution) riguardanti il GRE, MS avrebbe dovuto seriamente salvaguardare la sua utenza, scandagliando a dovere quel pezzo di codice. Non era il caso che mese per mese aspettasse che qualcun altro segnalasse i problemi. Ti ricordo che stai parlando di un azienda che vanta il maggior numero di impiegati al mondo, nel settore informatico.
2. Il GRE incorpora codice ANTICO, di ben 16 anni. E in parte è proprio quel codice il responsabile di alcuni problemi. Mi aspetto da un colosso del genere che i sorgenti passino da una Major release all’altra dopo un’attenta analisi e reingegnerizzazione, data l’epocale differenza che possiamo notare dall’ormai obsoleto Windows 9x e precedenti e l’attuale XP.
Quindi ribadisco: non critico il fatto che abbiano Bug. Tutti hanno bug. E’ umano. Io critico la non professionalità delle loro azioni pseudo-risolutive. Si sforzassero di meno sulle pubblicità e di più su customer-care.
Perdonami se considero qualunquismo la frase:
“Cara Microsoft, ti costa tanto, una volta saputo che hai un bel buchetto nel tuo caro sistema, darci un’occhiata un attimino più approfondita?”
Punto 1 sono d’accordo
Punto 2 la cosa non è del tutto corretta. Il bug in questione è realmente pericoloso solo per le macchine Windows XP e 2003, infatti il motore che si occupa di renderizzare i file grafici nelle versioni precedenti di Windows è GDI32. Per cui il discorso delle “major release”…..lascia il tempo che trova.
Ribadisco anche io. Lavoro a stretto contatto con Microsoft, ho avuto spesso contatti col PSS per la risoluzione diretta di problemi, e sebbene sia d’accordo che l’azienda ha dei comportamenti “poco professionali”, questi non sono certo nel modo in cui rispondono alle patch di larga diffusione (cioè quelle che sono indicate nei maggiori siti di bug tracking e che presentano degli exploit di facile e diffuso utilizzo), che anzi io trovo decisamente pro-attivo e professionale. (ma tutto questo è una mia opinione)
da http://www.nod32.it:
Il 28/12/2005, Microsoft ha pubblicato l’advisory di sicurezza MS912840 per una vulnerabilità critica riguardante la gestione dei file grafici WMF (Windows Meta File). La vunerabilità , presente nella funzione Escape della libreria dinamica GDI32.DLL, interessa tutti i sistemi operativi Windows.
Se Microsoft non ha rilasciato la patch per Windows inferiori alla classe XP-2003, è soltanto perché non le conveniva. Questioni commerciali, come al solito. Tanto XP ormai conta la maggior parte delle installazioni Home/Office.
Infatti patch di terze parti come quella di Guilfanov agiscono a partire da Win2000 e quella di Paolo Monti addirittura ha effetto su sistemi Win98. E’ chiaro cmq che Win98 ormai è un sistema che non interessa più, e quelli che ancora lo usano vengono “discriminati” da MS.
Cristiano Flora ha scritto:
> Perdonami se considero qualunquismo la frase:
> “Cara Microsoft, ti costa tanto, una volta saputo che hai un bel buchetto nel tuo caro sistema, darci un’occhiata un attimino più approfondita?�
E’ quello che penso di un’azienda che progetta da anni sistemi operativi che contravvengono a ogni principio di corretta progettazione di un tale prodotto.
Solo ora, con Vista, sembrano che abbiano iniziato a studiare come si facciano i sistemi operativi. Vedremo.