La squadra Project Zero di Google ha scoperto e rivelato l’esistenza di tre gravi falle di sicurezza in OS X. Il Project Zero di Google è un team di sviluppatori ed esperti nel settore della sicurezza informatica: è appoggiato da Google ed è nato con l’intento di scovare vulnerabilità software. Il team ha individuato molte falle in varie applicazioni e sistemi operativi, avvisando prima i produttori e in alcuni casi, dopo un determinato periodo, rendendole note al fine di sollecitare le società più lente nel risolvere i problemi individuati.
Il team ha ora identificato tre falle 0 day (vulnerabilità utilizzabili nel momento stesso in cui vengono scoperte) in OS X (questa è la prima, questa è la secondo, qui il link con i dettagli della terza). Le vulnerabilità sono state segnalate ad Apple nel mese di ottobre e, non essendo state risolte, come di consueto sono state rese pubbliche dopo 90 giorni: a detta di Google tre mesi è un tempo sufficiente per consentire alle società di integrare eventuali patch necessarie. Il pericolo in questi casi è che hacker malintenzionati potrebbero sfruttare le falle per attaccare sistemi privi di patch. Per le vulnerabilità in questione è ad ogni modo necessario avere accesso fisico alla macchina: in teoria potrebbero essere sfruttate anche da remoto ma in questo caso la macchina da colpire deve essere stata già violata con altri metodi. Il sito iMore segnala ad ogni modo che la prima falla è stata contrassegnata come risolta l’8 gennaio; le altre due sono state anch’esse risolte e saranno integrate nell’update a OS X 10.10.2 che dovrebbe essere rilasciato a breve.
Qualche giorno addietro il modo di operare di Google è stato criticato da Microsoft. L’azienda di Mountain View ha divulgato i dettagli di un bug riguardante Windows 8.1 prima del rilascio di una patch specifica. I 90 giorni dati alle società per risolvere i problemi e di cui parla Google sono, a detta di Microsoft, un approccio sbagliato giacché la divulgazione di dettagli prima della disponibilità di fix specifici rappresenta un grave pericolo per gli utenti. La multinazionale di Redmond ritiene la filosofia CVD (Coordinated Vulnerability Disclosure) un approccio migliore per minimizzare i rischi. Statistiche alla mano è stato ad ogni modo dimostrato che in pratica nessuna vulnerabilità segnalata privatamente è stata sfruttata da malintenzionati; al contrario, diversi attacchi sono stati compiuti quando la vulnerabilità è stata divulgata pubblicamente, prima del rilascio della patch. In pratica rendere noti i dettagli pubblicamente servirebbe a poco. Anche il tempo imposto per risolvere il problema secondo Microsoft non è ragionevole. Creare patch richiede spesso lavoro impegnativo di test e verifica e tempi variabili secondo la complessità della vulnerabilità da risolvere. Non sempre è possibile risolvere il problema nella tempistica che impone Project Zero. La strategia migliore, secondo Microsoft, è segnalare privatamente il problema e collaborare alla sua soluzione.