hit counter
Stasera rilascio straordinario del bollettino relativo ad Internet Explorer - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Stasera rilascio straordinario del bollettino relativo ad Internet Explorer

Stasera rilascio straordinario del bollettino relativo ad Internet Explorer

  • Comments 27
  • Likes

In una corsa contro il tempo per testare nel miglior modo possibile la patch correttiva relativa alla recente vulnerabilità pubblica su Internet Explorer, di cui vi ho detto nel mio post precedente, ecco giungere l'annuncio del suo rilascio per stasera 17 dicembre alle 19.00 ora italiana:

Microsoft Security Bulletin Advance Notification for December 2008

Credo sia stato finora uno degli sforzi più notevoli in termini di rapidità rispetto ad un intero ciclo di investigazione, realizzazione patch, test (la parte più impegnativa, ricordate che si realizza una patch per tutte le versioni di Windows attualmente supportate, e per tutte le 27 lingue!) e rilascio al pubblico: soli 8 giorni! Se vi sembrano tanti, confrontateli con i tempi medi delle piattaforme concorrenti (Microsoft è la più veloce nei cosiddetti Days Of Risks con 24,22 giorni di media, e il primo vendor che si avvicina a questo valore ha una media di 72 giorni).

Pur rimandando a stasera la consueta analisi di rischio, posso già anticiparvi un paio di considerazioni:

  • E' più grave del solito? Perché si sta operando un rilascio straordinario?
    La gravità risiede nella diffusione che si sta osservando di siti web infettati tramite gli attacchi di SQL Injection di cui detto nel post precedente. In questo modo, anche siti che gli utenti ritengono affidabili potrebbero risultare veicolo di infezione.
  • Dal punto di vista tecnico la vulnerabilità è più pericolosa del solito?
    No: t
    ecnicamente parlando è una vulnerabilità di IE in linea con quelle risolte finora dalle patch cumulative di IE. In particolare se si viene attaccati il codice non autorizzato può agire solo utilizzando i privilegi dell'utente loggato: utenti non amministratori sono meno a rischio. Inoltre gli utenti che utilizzano Windows Vista sono più protetti grazie al meccanismo di Protected Mode.
  • Tutte le versioni di IE sono vulnerabili?
    Sì, ma al momento gli attacchi interessano solo Internet Explorer 7.
  • Sarà una patch cumulativa?
    No. Per proteggere Internet Explorer da tutte le vulnerabilità note, i clienti devono aver messo l'ultima cumulativa e installare la patch che verrà rilasciata stasera.

Altri post/risorse correlate:

  • Advance Notification for December 2008 Out-of-Band Release
  • Security Advisory 961051 su Internet Explorer: nuovi workaround
  • Post del team SWI: Clarification on the various workarounds from the recent IE advisory
  • i post della categoria "Security Bulletin and Advisory Risk Analysis"
  • Riepilogo analisi Bollettini e Advisory
  •  

    Share this post :
    Comments
    • Grazie Feliciano, aspettavamo con ansia questo rilascio!!!

    • Fantastico! ma per quanto riguarda messenger 2009 ci sono dei problemoni.Ad esempio quando lo installo la percentuale della barra mi arriva fino al 100% dopodichè ritorna indietro e mi disistalla tutto perkè???

    • @ Andrea

      che c azzecca messenger qui? per problemi legati alla suite live chiedi assistenza qui http://www.windowslivehelp.com/

    • c'è una soluzione geniale;;;;;;

      usare altri browser.....

      Incredibile sarà la milionesima falla di explorer da quando è nato...anche gli altri browser hanno falle, ma non come explorer non ce ne!!!

      ...certo è da applausi il tempo record della creazione della toppa,,, ma è uguale io sono per non usare explorer e passare a firefox,,, ma come velocità e leggerezza per adesso l'incredibile uscita di google con CROME supera tutti!!!!

      personalmente ho smesso di usare explorer da anni!!!!

      cmq ogniuno fa quel che vuole e quindi buon download dopo le 19....

      Saluti

    • Scusate ma, pur considerando la tendenza della stampa al rumor scandalistico per fare "notizia", mi sembra che il modo in cui presentate il problema (come se fosse solo un problema di malware o poco altro) non lo trovo molto in linea con quanto leggo su tutti i siti. Sono solo gli altri che hanno un atteggiamento "anti-microsoft" o in questi casi vi nascondete dietro un filo d'erba? qui si tratta, se è vero, che qualcuno, usando questa falla, possa catturare le mie user e password. Altrimenti alcuni enti come paypal non avrebbero preso certi provvedimenti.

      Allego come esempio articolo di Repubblica

      "Una falla in Internet Explorer

      mette a rischio milioni di utenti

      Il buco di sicurezza scoperto dai pirati informatici. L'utente rischia il furto di password e i dati personali. Microsoft lo sa, ma al momento non ha fornito un rimedio. Forse a gennaio. Gli esperti: per ora usate browser alternativi di ALESSANDRO LONGO

      NAVIGARE tramite il browser più popolare, Internet Explorer di Microsoft, è ora piuttosto rischioso. L'utente corre il pericolo che gli rubino le password e i dati personali, per colpa di un buco di sicurezza scoperto dai pirati, nel codice del browser. Microsoft lo sa, ma al momento non ha fornito un rimedio: bisognerà aspettare, si prevede, la prossima tornata di aggiornamenti automatici per il browser, attesa per il 9 gennaio.

      Il pericolo è stato scoperto la settimana scorsa, ma nel frattempo è montato a tal punto da spingere alcuni esperti di sicurezza (come quelli di Trend Micro) a dare un insolito e radicale consiglio agli utenti: di non usare il browser finché il problema non sarà risolto da Microsoft. E quindi di navigare solo con alternative quali Firefox, Safari, Chrome. Microsoft consiglia alcuni rimedi provvisori, per navigare con Internet Explorer evitando il pericolo. Sono però configurazioni da fare sul computer, complicate per gli utenti alle prime armi. Certo è più facile cambiare browser, almeno temporaneamente.

      La falla di sicurezza, del resto, riguarda tutte le versioni di Internet Explorer, persino la nuovissima beta di Internet Explorer 8. Funziona così: i pirati riescono a nascondere un programma infetto su siti, anche legittimi - finora ne sono stati colpiti 10 mila e il conto continua a crescere, secondo gli esperti. Quando l'utente naviga con Internet Explorer su quei siti, riceve un attacco. Il sito cioè, sfruttando la falla del browser, gli invia il programma, che si installa sul suo computer e diventa d'allora in poi come una porta sempre aperta per i pirati. Che potranno così rubargli le password (via internet e senza che l'utente se ne accorga) o compiere altre azioni. Possono danneggiare l'utente in vario modo, non c'è limite alla fantasia: basta programmare in modo diverso il codice infetto che fa parte dell'attacco.

      Ci mancava solo questa per coronare un anno terribile per il browser di Microsoft, mai come adesso super assediato dai rivali. Per la prima volta in dieci anni, la quota di mercato di Internet Explorer è scesa sotto il 70 per cento (al 69,8 per cento), secondo i rilievi di Net Applications. Al secondo posto Firefox, con il 20,8 per cento, seguono Safari di Apple (7 per cento) e Chrome di Google (0,83 per cento).

      Quest'ultimo è la nuova spina nel fianco di Microsoft e certo ha solo iniziato a dargli preoccupazioni. Google infatti l'ha appena portato alla versione definitiva (togliendolo dalla beta): equivale a dare il via allo scontro diretto nella guerra dei browser. Senza più nascondersi dietro il paravento della parola "beta".

      La prima vera replica arriverà nei primi mesi del 2009, quando è attesa l'uscita della versione definitiva di Internet Explorer 8. Nel frattempo è possibile che il browser di Microsoft perda altri utenti e questa nuova falla forse contribuirà al declino. Bisogna però evitare l'errore opposto di credere gli altri browser più sicuri in senso assoluto, rispetto a Internet Explorer 7 (mentre le precedenti versioni è meglio ormai smettere di usarle, senza dubbio). Di tanto in tanto compaiono falle di sicurezza anche per gli altri browser e di recente uno studio ha visto che sono Chrome e Safari i browser meno affidabili per sicurezza delle password.

      Le falle che colpiscono Internet Explorer rischiano però di fare più danni, per almeno due motivi. Primo, perché è un browser usato dall'ampia maggioranza di utenti, spesso inesperti e quindi meno capaci di proteggere il proprio computer. Secondo, perché a differenza di alcuni dei suoi concorrenti principali non è open source e quindi non si può contare su una community di utenti esperti e sviluppatori che rimedi, con tempestività, alle falle scoperte. Bisogna per forza aspettare che sia Microsoft a pubblicare una patch"

    • Certo Simone, ognuno è libero di usare il browser che vuole, ma passare ad un altro browser potrà forse sembrare una soluzione "geniale" se osserviamo questo specifico problema, fino a stasera. Ma se guardiamo al livello generale di esposizione in termini di numero di vulnerabilità Firefox NON è messo meglio di IE: potresti essere esposto (anzi gli utenti FF sono esposti statisticamente a più rischi) agli stessi problemi senza saperlo, senza i clamori di questa visibilità.

    • Per Paolo: ho avuto personalmente modo di spiegare meglio il mio punto di vista a Repubblica : http://www.repubblica.it/2008/11/sezioni/tecnologia/microsoft-7/falla-toppa/falla-toppa.html

    • ridicolo come fino a ieri si diceva di usare altri browser quando poi oggi scopriamo che anche Firefox oggi ha patchato una dozzina di falle di sicurezza critiche che permettono di eseguire codice arbitrario da remoto. Ma come non si diceva di usare Firefox fino a ieri per pararsi il culetto da IE? ROFL!

      http://blogs.zdnet.com/security/?p=2322

      "a new version of Firefox 3 to plug about a dozen security holes that could lead to remote code execution attacks, browser crashes and information disclosure issues.

      "

      Alla fine anche Firefox si dimostra insicuro tanto quanto IE, anzi è meno sicuro perchè non ha manco la modalità protetta

    • Firefox su Linux da ormai 8 anni !

      Niente antivirus, niente antispyware ... e non ho preso mai un virus o qualche altra cazzata !

    • Ci sarebbe un'altra precisazione da fare:

      «Ci abbiamo messo otto giorni per sviluppare la patch (la toppa, ndr.) per quella falla di sicurezza. A un utente medio potrebbe sembrare tanto tempo, ma è un record. In media Microsoft sviluppa patch ogni 24 giorni. La seconda azienda più veloce, dopo di noi, ci mette 72 giorni»

      Come spiegato anche a pagina 27 dello studio di Jeff Jones non è bene mescolare nella stessa frase il DoR e il time to fix. Sono due cose diverse... Poi anche «Microsoft sviluppa una patch OGNI 24 giorni» è sbagliata come frase!

    • Domanda:devo reinstallare Win xp home e ho a disposizione il SP3. Quando,una volta installato,mi connetto a windows update per gli ultimi aggiornamenti sono a rischio? O è meglio scaricarsi la patch singola da un altro pc,installarla e poi fare un update per gli utlimi aggiornamenti?

      Grazie ;D

    • Feliciano Intini sul suo blog ha annunciato che questa sera (17/12/2008) alle 19:00 sarà rilasciato un

    • Ho aggiornato in Vista alle 19.10 di oggi

      L'aggiornamento è KB960714

      E' quello tanto atteso?

    • @Siagrio

      si, è la kb960714

      @Feliciano

      Ma il wsusscn2.cab aggiornato alla ms08-078 non è ancora stato rilasciato?

    • Premetto che non lavoro per Microsoft e che non voglio innescare  alcun flame (ammesso che già questo non lo sia) ma credo che chi accusa Microsoft al solito modo o lo fa con cinismo o non ha letto le innumerevoli vulnerabilità che vengono rilasciate anche per altri browser. E spesso si dimentica che un bug nella gestione della same origin policy  è ben più grave (dipende ovviamente dal contesto nel quale viene sfruttata ) rispetto ad una vulnerabilità di tipo remote code execution che, sui sistemi Microsoft, va ricordato,  non è cosi banale da sfruttare via browser.

    Your comment has been posted.   Close
    Thank you, your comment requires moderation so it may take a while to appear.   Close
    Leave a Comment