Windows Media Player o-day. Come Microsoft li gestisce. Datevi all’ippica!

Windows Media Player 0-Day

 

Oggi vediamo come Microsoft gestisca le comunicazioni di bug o di sistemi insicuri.

La vulnerabilità riguarda Windows Media player e vediamo come sia stata gestita questa falla: Non è stata gestita!

Windows Media Player 0-Day

Questa vulnerabilità consente agli aggressori remoti di rivelare informazioni sensibili sulle installazioni interessate di Windows Media Player. L’interazione dell’utente è necessaria per sfruttare questa vulnerabilità in quanto l’obiettivo deve visitare una pagina dannosa o aprire un file dannoso.

Il difetto specifico esiste all’interno del codec audio MPEG. Il problema deriva dalla mancanza di una corretta convalida dei dati forniti dall’utente, che può portare a una lettura oltre la fine di un buffer allocato. Un aggressore può sfruttare questa lacuna insieme ad altre vulnerabilità per eseguire il codice nel contesto del processo in corso.

Windows Media Player 0-Day
Windows Media Player 0-Day



ULTERIORI DETTAGLI
Questa vulnerabilità viene divulgata pubblicamente senza una patch, in conformità con le politiche ZDI.

Microsoft e l’ippica.

13/08/2019 – ZDI ha comunicato la relazione al fornitore e il fornitore ha riconosciuto
14/08/2019 – Il venditore ha fornito un numero di pratica
27/08/2019 – Il venditore ha fornito un aggiornamento dello stato “in valutazione”.
29/08/2019 – Il venditore ha comunicato alla ZDI di non essere in grado di riprodurre il rapporto
30/08/2019 – ZDI ha fornito informazioni supplementari sulle impostazioni
03/09/2019 – Il venditore ha comunicato alla ZDI di non essere in grado di riprodurre il rapporto e ha richiesto un ulteriore passaggio
04/09/2019 – ZDI ha posto domande chiarificatrici
12/09/2019 – Il venditore ha risposto
17/09/2019 – ZDI ha fornito un crash dump
01/10/2019 – Il fornitore ha fornito un aggiornamento dello stato “in sviluppo”.

due mesi per pensarci

05/12/2019 – ZDI e il fornitore hanno ricevuto una telefonata in merito a questo e ad altri rapporti e a ZDI è stato detto di aspettarsi una confutazione/nessuna risposta fissa
18/12/2019 – ZDI ha richiesto qualsiasi aggiornamento disponibile
23/12/2019 – Il venditore (microsoft) ha comunicato alla ZDI che il rapporto non soddisfa il requisito per l’assistenza
2712/2019 – ZDI ha notificato al venditore l’intenzione di pubblicare come 0-day

(fonte ZDI)

 

ed è stata pubblicata la vulnerabilità !

Di passaggi così arzigogolati e pieni di saccenza da parte Microsoft ne è piena la rete, come per i suoi bug e rispettivi 0-day.

Datevi all’ippica !