Importante cambiamento nella divulgazione delle vulnerabilità per Microsoft, che ha da tempo annunciato la sua adesione al Coordinated Vulnerability Disclosure, (CVD), un programma collaborativo per la scoperta e la segnalazione di vulnerabilità anche di software di terze parti.
Obiettivo, concentrarsi su coordinamento e collaborazione per risolvere i problemi di sicurezza in modo trasparente, così da minimizzare i rischi e i disagi per l’utente.
Il feedback della comunità di utenti ed esperti del settore è stato generalmente favorevole fin dal 2008, da quando il programma è stato attivato, ma solo in questi giorni Microsoft ha iniziato a rendere pubblici i primi bollettini di sicurezza relativi a software di terze parti, avendo cura di segnalarli preventivamente alle software house coinvolte.
Microsoft ha infatti iniziato a rilasciare un documento CVD, coordinato all’attività di ricerca di bug e vulnerabilità. I primi due bollettini di sicurezza, che riguardano vulnerabilità scoperte in Chrome e Opera:
- MSVR11-001, una vulnerabilità che interessa il browser Chrome nelle versioni precedenti alla 6.0.472.59, che potrebbe consentire ad utenti malintenzionati di eseguire codice arbitrario all’interno della sandbox;
- e MSVR11-002, una vulnerabilità che interessa le versioni di Chrome 8.0.552.210 e precedenti e le versioni di Opera 10,62 e precedenti, che riguarda un’errata implementazione di HTML 5.
