Patch dimenticate: anche Microsoft colpita da Slammer

La notizia, diffusasi martedì mattina, ha suscitato molta ironia ma soprattutto parecchia preoccupazione per la politica della società di Redmond di puntare sulle patch per rimediare alle debolezze in fatto di sicurezza dei propri software. L´Associated Press cita alcune e-mail circolate in Microsoft che rivelerebbero come la patch, da tempo disponibili per questa vulnerabilità di Sql Server, non siano state applicate su alcuni dei server di casa. Uno dei portavoce di Microsoft interpellati dal reporter dell´Associated Press ha ammesso che alcuni dei server non sono stati "riparati" perché i rispettivi amministratori non si sono comportati "come avrebbero dovuto". Anche News.com è in possesso di messaggi di posta interna dei responsabili dell´Information technology Group di Microsoft, che documentano la scoperta, e la reazione alla diffusione del worm e alle conseguenze che avuto sul funzionamento della rete aziendale. Le reazioni alla vicenda da parte di alcuni esperti di sicurezza sottolineano come la politica delle patch per rimediare alle vulnerabilità sia rischiosa e difficile da gestire per gli utenti, e contraddittoria per Microsoft. Da Redmond, ogni volta che si diffonde il malumore per le debolezze e i rischi associati ai software Microsoft, rispondono che non è colpa loro, perché le patch sono state rilasciate e devono essere semplicemente applicate. I critici invece sottolineano che se gli stessi amministratori dei sistemi di casa non riescono a tenere sotto controllo il fiume di alert e di patch e ad applicarle ai propri sistemi, come è pensabile che lo facciano tutti gli utenti? La stessa Microsoft comunque, lo scorso novembre aveva ammesso il problema, differenziando le comunicazioni per gli utenti finali rispetto a quelle per i tecnici. Fonte: Punto Informatico

news del 31-01-03