Puntuale rispetto al preavviso, stasera Microsoft ha rilasciato il bollettino straordinario "MS08-078 - Security Update for Internet Explorer (960714)". L'analisi di rischio è presto fatta (anche perché la maggior parte dei dettagli importanti è stata anticipata in occasione dell'advisory e del preavviso):

• si tratta di una vulnerabilità di tipo Remote Code Execution che interessa tutte le versioni attualmente supportate di Internet Explorer e che permetterebbe di far eseguire del codice non autorizzato nel contesto di sicurezza dell'utente loggato utilizzando pagine web opportunamente modificate come vettore di attacco.
• Le modalità di rilevamento e distribuzione non prevedono eccezioni rispetto alla norma delle patch di Windows/IE: gli utenti finali che hanno gli aggiornamenti automatici nella loro impostazione predefinita (cioé sono abilitati) si ritroveranno questa patch installata in modo automatico; le aziende potranno utilizzare tutti i loro consueti strumenti di aggiornamento. Non sono note problematiche di compatibilità applicativa.

Chi mi segue mensilmente nella lettura di queste descrizioni di dettaglio, ormai noiosissime :-), avrà appunto notato che non c'è nulla di nuovo, nulla di eclatante. Quali sono quindi le novità? Quali gli elementi dello scenario di rischio che sono mutati alla luce di questo evento? Grazie al significativo interesse di questa problematica da parte dei media online, ho avuto la possibilità di commentare e fare diverse riflessioni al riguardo: mi perdonerete se, invece di ripetermi, vi invito a consultarle direttamente sugli articoli che sono scaturiti da queste brevi interviste, approfittando dell'occasione per ringraziare giornalisti e redazioni della disponibilità ad accogliere le mie considerazioni:

Luca Annunziata su Punto Informatico - giovedì 18/12/2008

Gianni Rusconi su Il Sole 24 Ore.com - mercoledì 17/12/2008

Alessandro Longo su Repubblica.it - mercoledì 17/12/2008

Federico Cella su VitaDigitale.Corriere.it - mercoledì 17/12/2008

Post e video su MClips

Su due aspetti, già velocemente toccati in queste interviste, mi preme ritornare per rimarcarli e sottoporli alla vostra riflessione:

• non credo che questo episodio sia la dimostrazione della supremazia di altri browser rispetto ad IE rispetto agli aspetti di sicurezza. Assodato che tutti i browser alternativi soffrono di altrettante, se non numericamente maggiori vulnerabilità, questi attacchi diretti solo verso IE e sferrati subito dopo l'emissione ordinaria dei bollettini Microsoft sono la palese conferma della predilezione, da parte dei criminali informatici, della piattaforma e della modalità che può portare alla compromissione del maggior numero possibile di sistemi con il minor sforzo. L'uso di un browser alternativo espone quindi ad analoghi rischi, per certi versi più subdoli perché non eclatanti, non sbandierati. L'utente non deve illudersi che le altre piattaforme siano immuni da questi problemi: potrebbero non essere prese di mira dai malintenzionati, per ora, perché non conveniente, ma anche questo non lo si può affermare per certo, e di sicuro non sulla base di quanti articoli urlano la presenza di attacchi in circolazione. In quest'ottica, pur con una considerazione sfacciatamente di parte :-), mi sento di ribadire il primato di Microsoft rispetto agli altri vendor alla luce di tutto lo sforzo di contenimento delle vulnerabilità (leggi SDL) e dei processi di incredibile reattività in caso di emergenze come questa, che personalmente ritengo essere le migliori garanzie sulla tutela della sicurezza dei clienti.
• Ribadita l'assoluta "normalità" della tipologia di questa vulnerabilità, come mai si è giunti ad uno scenario di rischio con un numero significativo di siti web infetti, tale da far diventare urgentissima una patch che altrimenti sarebbe stata ordinaria? Risposta: la mancata responsible disclosure, e la latitanza della sicurezza a livello applicativo web. Perché si punta il dito solo sulla vulnerabilità lato client, ora corretta, e non si opera alcuna riflessione sulla piaga della miriade di siti web e applicazioni web configurati in modo assolutamente insicuro? (e questi senza riguardo per la piattaforma utilizzata, il problema delle vulnerabilità che espongono ad attacchi di SQL Injection è trasversale: anzi, c'è chi vanta una indiscussa maggiore quota di mercato sui web server, e di certo non è Microsoft IIS e le sue applicazioni...). Perché non si inizia a prendere sul serio il tema della revisione di tutto il codice applicativo, ognuno per la propria responsabilità, non solo di quello Microsoft?

Vi lascio riflettere e commentare.

Altri post/risorse correlate:

• estratto della mia pagina "Riepilogo analisi e Risorse su Security Bulletin e Security Advisory di Microsoft" appena aggiornata:
• Post del MSRC:
  • MS08-078 Released
• Post del MMPC:
  • Limited Exploitation of Microsoft Security Advisory 961051
  • The new IE exploits for Advisory 961051, now hosted on pornography sites
• Post del team SWI:
  • Clarification on the various workarounds from the recent IE advisory

Share this post :