Mateusz Jurczyk evidenzia una falla di Windows nella sicurezza informatica. Il sistema operativo soffre, dunque, di una vulnerabilità. E questa colpisce la componente “gdi32.dll“. La questione è importante perché chiunque ha la possibilità di danneggiare il sistema. Il problema è stato segnalato a Microsoft da quasi un anno (marzo 2016). Tuttavia, ancora oggi, la questione non è risolta.
Il gigante del software ha riconosciuto il problema. La distribuzione della patch MS16-074, nel giugno 2016, ha tentato di fornire una soluzione, sebbene non sia stata sufficiente. La vulnerabilità sarebbe sempre lì, in agguato per l’estrazione dei dati da un computer, attraverso il browser Internet Explorer o altri client GDI.
Microsoft è stata ancora una volta informato della situazione nel novembre del 2016. Anche questa, nulla è stato fatto. Ciò spiega la scelta del tecnico di rivelare apertamente quel difetto. Non è una posizione personale, ma semplicemente l’applicazione della politica del progetto “Google Zero”. E afferma che, se entro 90 giorni dopo la prima notifica di un problema di sicurezza, la società dietro l’applicazione in questione non le dà l’adeguata importanza, tutte le informazioni saranno rese pubbliche.
Microsoft non commenta il caso. Il fatto che questa vulnerabilità sia ora pubblica, espone tutti gli utenti Windows. Microsoft è “costretta” a rispondere. E’ possibile che la prossima patch possa essere accompagnata da una soluzione definitiva e vitale. Anche se pericolosa, rimane difficile operare in quanto la distribuzione di un file EMF appositamente progettato è richiesto sul PC di destinazione.
Questa non è la prima volta che Google pubblica i dettagli di alcuni fallimenti di Windows. L’ultima data di comunicazione è, come detto, novembre 2016. Microsoft, all’epoca, non era rimasta zitta. Al momento, infatti, Redmond aveva criticato Google, sottolineando che la società aveva esposto volontariamente tutti gli utenti Windows all'”aumento del rischio”.
Terry Myerson, vice presidente esecutivo di Windows, aveva sottolineato: “La decisione di Google di divulgare queste vulnerabilità prima dell’arrivo di una patch espone i clienti a rischi maggiori”.