1990: Design Science consegna la prima versione per Windows 3.0 del componente software "Equation Editor":
1991: la Microsoft rilascia Windows 3.1.
2000: la Microsoft compra Design Science - l'Equation Editor è già da tempo parte integrante del pacchetto Office.
Ultima data di compilazione: 9 novembre 2000.
Dopodiché si sono letteralmente persi i sorgenti (crash di qualche hard disk senza backup, oppure con backup non verificato e risultato rovinato): capita nelle migliori famiglie...
2017 (diciassette anni dopo): ci si accorge di mostruose vulnerabilità nell'Equation Editor.
L'Equation Editor era sopravvissuto fino alla versione Office 2016 per motivi di "compatibilità con i vecchi documenti", senza mai venir ricompilato da quel novembre 2000.
Prendevano il file EQNEDT32.EXE e lo schiaffavano pari pari nei dischi di installazione della nuova versione. Per diciassette anni consecutivi. Senza batter ciglio al fatto che non avevano più il suo codice sorgente.
Ovviamente, senza sorgenti, quando viene scoperta una vulnerabilità, che si fa? O si manda una patch a tutti gli Office per dire di bloccare l'eseguibile, cancellarlo, distruggerlo... oppure si chiama disperatamente qualche vecchio programmatore capace di smanettare con l'assembler e di fare una patch al codice binario riscrivendo la memcpy (una delle poche cose di quell'eseguibile su cui si poteva metter mano senza fare troppi pasticci) in modo non ottimizzato per recuperare qualche byte in cui infilare qualche JMP precauzionale.
E così l'Equation Editor sopravviverà ancora qualche anno, in attesa di essere riscritto daccapo.
martedì 21 novembre 2017
Iscriviti a:
Commenti sul post (Atom)
Nessun commento:
Posta un commento