Stasera Microsoft ha pubblicato sul blog MSRC la decisione di rendere disponibile l’aggiornamento correttivo per la vulnerabilità di IE fuori dell’ordinario ciclo mensile: la tempistica esatta del rilascio verrà comunicata domani, ma ritengo che possa essere imminente:
Security Advisory 979352 – Going out of Band
Pur non essendo mutato in modo significativo lo scenario di rischio (nel senso che gli attacchi noti sono rimasti quelli mirati e circoscritti, ed efficaci solo su sistemi con IE6), il clamore mediatico e la confusione da parte dei clienti che ne è derivata (vedi dubbi tra versioni impattate dalla vulnerabilità – praticamente tutte - e quella seriamente impattata da eventuali attacchi intrusivi – solo IE6), anche relativamente alle contromisure temporanee di difesa (vedi abilitazione del DEP), hanno spinto verso la decisione di un rilascio in modalità Out-of-band (OOB).
Domani conto di aggiornarvi in tempo reale su questo post in merito alla tempistica definitiva.
Stay tuned!
Aggiornamento del 20/01/2010 ore 19.30: è stato comunicato che il rilascio straordinario dell’aggiornamento correttivo avverrà domani 21 gennaio 2010, intorno alle ore 19 (ora italiana)
Microsoft Security Bulletin Advance Notification for January 2010 Post del MSRC: Advance Notification for Out-of-Band Bulletin Release Post del SRD: Reports of DEP being bypassed
Microsoft Security Bulletin Advance Notification for January 2010
Post del MSRC: Advance Notification for Out-of-Band Bulletin Release
Post del SRD: Reports of DEP being bypassed
A domani per la relativa analisi di rischio quando il bollettino verrà pubblicato.
Feliciano
Altri post/risorse correlate:
Complimenti per il tuo intervento a "Istruzioni per l'uso" di stamattina ;-)
Grazie Vincenzo! Come mia prima esperienza di diretta radio RAI è stata davvero bella: la conduttrice, Emanuela Falcetti, è straordinaria, e il taglio molto diretto e concreto della trasmissione è assolutamente utile per fornire consigli pratici a noi cittadini. Spero proprio di ripetere l'esperienza. Unico neo: la levataccia per iniziare la trasmissione alle 6, ma ne vale la pena!
Complimenti anche da parte mia di utilizzatore finale per la prontezza nelle segnalazioni
Grazie Andrea: conto di aumentare molto le informazioni anche per i non super-smanettoni, su TUTTI i temi di Sicurezza e Privacy che hanno a che fare con la tecnologia Microsoft (e non solo ;-), quindi mi raccomando: rimani sintonizzato e grazie del buon passaparola ;-)
Feliciano, mi dici come faccio a disabilitare l'NTVDM subsystem in Vista Home Premium non disponendo del gpedit.msc ?
Capisco l'onda mediatica ma il fatto di rilasciare la patch su tutti i sistemi è un'ammissione che il problema sia importante e che i fattori di mitigation non sono così solidi come ritenete.
Il che, portato all'estremo, mi fa pensare che il metro utilizzato per giudicare gli aggiornamenti non è veramente comprovato e potrei conseguentemente basare la mia politica di aggiornamento su notizie imprecise.
Io non avrei mai rilasciato la patch out-of-band e pregato tutti di passare ad un IE post 11-settembre....
Attento Antonio, non mi cadere anche tu in confusione: provo a spiegare meglio.
Il problema è importante? Nessuno ha mai detto che il problema non era importante, (uscirà come severity Critical, fate voi), ma non è da apocalisse come qualcuno voleva far credere e soprattutto l'attacco noto efficace solo su IE6.
Altro punto importante: non importa i fattori mitiganti, le patch si realizzano per tutte le versioni interessate, anche se il rischio fosse Low.
Il metro di giudizio non si applica a QUALI patch rilasciare, (si correggono tutte le vulnerabilità) ma a QUANDO renderle disponibili (accelerando o meno il tempo di testing, essenzialmente): i criteri guida sono sempre la tutela della protezione dei clienti (sia quella reale che quella percepita), la qualità dell'aggiornamento e la facilità per gli utenti di implementare le contromisure alternative.
Sposeri volentieri il tuo atteggiamento "talebano" all'aggiornamento forzato :-), ma ho lavorato tanto sui grandi clienti da sapere che per tanti è pura chimera sperare in un aggiornamento ad IE8 nel giro di mesi, figuriamoci se lo chiediamo da un giorno all'altro...:-(
@GSenzaTesta: il mio collega super-expert Dario Brambilla, nella sua infinita benevolenza, mi ha aiutato:
Some versions of Windows do not include a group policy editor. As an alternative, users can also create a registry key under \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat with a D-Word value of VDMDissallowed = 1. To prevent the system from being vulnerable to the exploit, users can place the following text:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]
"VDMDisallowed"=dword:00000001