hit counter
Security Advisory 979352 su IE: preavviso di rilascio straordinario (OOB) - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Security Advisory 979352 su IE: preavviso di rilascio straordinario (OOB)

Security Advisory 979352 su IE: preavviso di rilascio straordinario (OOB)

  • Comments 8
  • Likes

Stasera Microsoft ha pubblicato sul blog MSRC la decisione di rendere disponibile l’aggiornamento correttivo per la vulnerabilità di IE fuori dell’ordinario ciclo mensile: la tempistica esatta del rilascio verrà comunicata domani, ma ritengo che possa essere imminente:

Security Advisory 979352 – Going out of Band 

Pur non essendo mutato in modo significativo lo scenario di rischio (nel senso che gli attacchi noti sono rimasti quelli mirati e circoscritti, ed efficaci solo su sistemi con IE6), il clamore mediatico e la confusione da parte dei clienti che ne è derivata (vedi dubbi tra versioni impattate dalla vulnerabilità – praticamente tutte - e quella seriamente impattata da eventuali attacchi intrusivi – solo IE6), anche relativamente alle contromisure temporanee di difesa (vedi abilitazione del DEP), hanno spinto verso la decisione di un rilascio in modalità Out-of-band (OOB).

Domani conto di aggiornarvi in tempo reale su questo post in merito alla tempistica definitiva.

Stay tuned!

Aggiornamento del 20/01/2010 ore 19.30: è stato comunicato che il rilascio straordinario dell’aggiornamento correttivo avverrà domani 21 gennaio 2010, intorno alle ore 19 (ora italiana)

Microsoft Security Bulletin Advance Notification for January 2010

Post del MSRC: Advance Notification for Out-of-Band Bulletin Release

Post del SRD: Reports of DEP being bypassed

A domani per la relativa analisi di rischio quando il bollettino verrà pubblicato.

Feliciano

 

Altri post/risorse correlate:

Comments
  • Complimenti per il tuo intervento a "Istruzioni per l'uso" di stamattina ;-)

  • Grazie Vincenzo! Come mia prima esperienza di diretta radio RAI è stata davvero bella: la conduttrice, Emanuela Falcetti, è straordinaria, e il taglio molto diretto e concreto della trasmissione è assolutamente utile per fornire consigli pratici a noi cittadini. Spero proprio di ripetere l'esperienza. Unico neo: la levataccia per iniziare la trasmissione alle 6, ma ne vale la pena!

  • Complimenti anche da parte mia di utilizzatore finale per la prontezza nelle segnalazioni

  • Grazie Andrea: conto di aumentare molto le informazioni anche per i non super-smanettoni, su TUTTI i temi di Sicurezza e Privacy che hanno a che fare con la tecnologia Microsoft (e non solo ;-), quindi mi raccomando: rimani sintonizzato e grazie del buon passaparola ;-)

  • Feliciano, mi dici come faccio a disabilitare l'NTVDM subsystem in Vista Home Premium non disponendo del gpedit.msc ?

  • Capisco l'onda mediatica ma il fatto di rilasciare la patch su tutti i sistemi è un'ammissione che il problema sia importante e che i fattori di mitigation non sono così solidi come ritenete.

    Il che, portato all'estremo, mi fa pensare che il metro utilizzato per giudicare gli aggiornamenti non è veramente comprovato e potrei conseguentemente basare la mia politica di aggiornamento su notizie imprecise.

    Io non avrei mai rilasciato la patch out-of-band e pregato tutti di passare ad un IE post 11-settembre....

  • Attento Antonio, non mi cadere anche tu in confusione: provo a spiegare meglio.

    Il problema è importante? Nessuno ha mai detto che il problema non era importante, (uscirà come severity Critical, fate voi), ma non è da apocalisse come qualcuno voleva far credere e soprattutto l'attacco noto efficace solo su IE6.

    Altro punto importante: non importa i fattori mitiganti, le patch si realizzano per tutte le versioni interessate, anche se il rischio fosse Low.

    Il metro di giudizio non si applica a QUALI patch rilasciare, (si correggono tutte le vulnerabilità) ma a QUANDO renderle disponibili (accelerando o meno il tempo di testing, essenzialmente): i criteri guida sono sempre la tutela della protezione dei clienti (sia quella reale che quella percepita), la qualità dell'aggiornamento e la facilità per gli utenti di implementare le contromisure alternative.

    Sposeri volentieri il tuo atteggiamento "talebano" all'aggiornamento forzato :-), ma ho lavorato tanto sui grandi clienti da sapere che per tanti è pura chimera sperare in un aggiornamento ad IE8 nel giro di mesi, figuriamoci se lo chiediamo da un giorno all'altro...:-(

  • @GSenzaTesta: il mio collega super-expert Dario Brambilla, nella sua infinita benevolenza, mi ha aiutato:

    Some versions of Windows do not include a group policy editor. As an alternative, users can also create a registry key under \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat with a D-Word value of VDMDissallowed = 1. To prevent the system from being vulnerable to the exploit, users can place the following text:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]

    "VDMDisallowed"=dword:00000001

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment