Bug e closed-source

0

outlook

Come spesso accade, uno dei vantaggi dell’open source è che, essendo disponibile il codice, eventuali bug rilevati dagli utente sono spesso rapidamente pubblicati e risolti dagli sviluppatori. La pratica di rendere il codice aperto, inoltre, permette (nel caso gli sviluppatori tardino o non vogliano fixare il bug), di partire da quel codice e “forkare” il progetto, creandone un’altro parallelo che includa la risoluzione al problema (ovviamente, questo tenendo presente la licenza dell’originale).

Dall’altra parte, utilizzare codice closed source lega la risoluzione del bug all’azienda (o allo sviluppatore) che si occupa del codice, creando spesso situazioni in cui chi scopre il bug non può/vuole rischiare di renderlo pubblico per la paura di ritorsioni legali da parte dell’azienda stessa che può anche decidere di non rendere pubblico il bug.

Con tanta pace per la sicurezza dei pochi o tanti utenti che utilizzano il software in questione.

Ma da dove nasce questo desiderio di sottolineare questa specifica differenza? Beh, ma dalla nostra cara Microsoft, ovviamente.

Il sito (o meglio, il software alla base del sito) Outlook.com, interfaccia mail via web alle popolari caselle di posta offerte gratuitamente agli utenti, gestisce in maniera errata le immagini allegate di dimensione 1×1 pixel, creando comportamenti inaspettati.

Il risultato di questo è che il destinatario della mail in questione, riceverà quella mail diverse volte, circa 2400 copie della stessa identica mail in 24 ore.

Questo quanto scoperto da Rahul Pratap Singh, appassionato di sicurezza, il 09 Aprile del 2015. Già, più di un anno fa.

Rahul ha segnalato prontamente il bug alla Microsoft che, nel giro di un paio di mesi ha rilasciato una patch a risoluzione del problema. Il tutto, ovviamente, senza che nessuno sapesse niente.

Il buon Rahul ha tenuto però monitorata la situazione ed ha notato che il bug è stato reintrodotto a Marzo di quest’anno, ed ha segnalato la cosa in Microsoft.

Altra patch, problema risolto, nessuna comunicazione ufficiale.

Quando a Settembre, due mesi fa, ha notato che il bug era ancora presente, si è preoccupato di segnalare nuovamente a Microsoft la presenza del problema, che qualche giorno fa (11 Novembre) ha risolto patchando ancora i suoi sistemi.

A questo punto, sul suo blog, Rahul ha deciso di rendere nota la cosa, probabilmente sperando che sia un buon modo per far si che il problema sia definitivamente risolto da Microsoft.

Ed in tutto questo, Microsoft? Avete saputo qualcosa dall’azienda di Redmond?

Vi lasciamo con il video del POC (Proof Of Concept) realizzato da Rahul stesso che mostra esattamente il problema.

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.