Un baco per il firewall di Windows Xp Sp2

Per Redmond, impegnata nella distinzione fra i meri problemi di configurazione e le vulnerabilità propriamente dette, si tratta semplicemente di una sfortunata svista, tale da non meritare eccessiva pubblicità. TUttavia...

La tornata di dicembre a correzione delle vulnerabilità di Windows introduce una nuova, bizzarra variante: dopo le patch fuori programma (una prerogativa di Internet Explorer) è la volta della patch che - per dirla con il gergo dei prestigiatori - "c'è ma non si vede".
Gli utenti che si sono affidati a Windows Update (e a maggior ragione al servizio di aggiornamento automatico) hanno infatti installato la patch descritta nel bollettino 886165 di Microsoft Knowledge Base, senza che questa venisse descritta dall'azienda di Redmond nei consueti riepiloghi mensili.

Se le patch di dicembre avevano sollevato più di una polemica per il grado di criticità assegnato ai bug, l'episodio del firewall non fa altro che gettare benzina sul fuoco e molto è dovuto all'atteggiamento di Microsoft stessa.

Il bollettino 886165 descrive a tutti gli effetti un aggiornamento critico: il firewall di Windows Xp Sp 2 (l'aggiornamento di Windows Xp rilasciato a ridosso dello scorso autunno) permette di accedere da Internet (specie se si usa un collegamento dial-up) alle condivisioni di file e stampanti che si vorrebbero riservare alla zona Intranet. Questo per un errore nella definizione di sottorete nell'interpretazione del firewall stesso, che Microsoft medesima senza problema alcuno.
Il rilascio della patch sotto silenzio sembra tuttavia essere qualcosa in più di "una svista sfortunata" (la definizione è di Gary Schare, responsabile di prodotto per Windows in seno a Microsoft).

A poco servono poi i commenti a margine dello stesso Schare: "La correzione al firewall non è trattata come vulnerabilità, perché è una questione di configurazione. Pochi aggiornamenti critici non sono legati a vulnerabilità, e questo è uno di essi".Ha concluso Schare: "Una vulnerabilità è un bug del software che deve essere corretto per evitare problemi di sicurezza. Qui si tratta di impostazioni non ottimali, ma non di vulnerabilità".

Dal nostro punto di vista è difficile dargli ragione, anche adesso che il problema è risolto: stavolta non si tratta del solito buffer overflow, ma dell'accesso arbitrario (e, quel che è peggio, silente) a risorse di sistema che si vorrebbero protette: siamo sicuri che all'utente finale esposto a questo rischio importi la distinzione tra vulnerabilità ed errore concettuale?

di Guido Sintoni - MyTech