hit counter
Riepilogo delle vulnerabilità pubbliche Microsoft e relativi workaround - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Riepilogo delle vulnerabilità pubbliche Microsoft e relativi workaround

Riepilogo delle vulnerabilità pubbliche Microsoft e relativi workaround

  • Comments 9
  • Likes

[English readers: you can find English links in this post for your convenience]

Il team di Microsoft Security Research & Defense ha pubblicato un importante riepilogo delle 5 vulnerabilità pubbliche Microsoft non ancora corrette e i relativi workaround:

Security Research & Defense > Assessing the risk of public issues currently being tracked by the MSRC

Sono sinceramente contento di vedere questo tipo di post, e spero che questo non sia il primo e l’ultimo di questa serie. Mi aiutano a spiegarvi, come cerco di fare da quando ho iniziato a bloggare Smile, l’evoluzione dell’approccio Microsoft nella gestione e risoluzione delle vulnerabilità: lo ripeterò fino alla noia, ma non si tratta semplicemente di scrivere la patch correttiva (attività normalmente molto rapida) e buttarla fuori senza preoccuparsi delle conseguenze (come probabilmente possono permettersi altri vendor senza la base installata di cui Microsoft dispone…), ma di realizzarla della migliore qualità possibile in un equilibrio di tempistiche che tenga ben d’occhio lo scenario di rischio per gli utenti.

Grazie alla sua rete di partner, Microsoft ha modo di monitorare in maniera molto puntuale l’evoluzione del rischio e l’esistenza di exploit e attacchi: se il rischio è basso ci si può prendere un po’ di tempo in più per realizzare una patch di maggiore qualità, fatto salvo di aver fornito delle indicazioni di protezione temporanea (i cosiddetti “workaround”); se questo dovesse aumentare in modo tale da mettere oggettivamente a rischio la protezione degli utenti, ci si attiva per una accelerazione del rilascio, tipicamente con un bollettino straordinario (OOB=out-of-band).

Mi stupisce quindi continuare a vedere articoli che giocano sul “ritardo” di Microsoft nel fornire gli aggiornamenti per fare notizia e sensazionalismo… vuol dire semplicemente che non si è capito (o si vuol far finta di non capire) l’approccio di Microsoft, che piaccia o meno. Analogamente vedo un po’ pretestuoso l’atteggiamento di alcuni ricercatori di sicurezza palesemente di parte (visto che lavorano per la concorrenza=leggi Google) che si mostrano quali paladini della sicurezza degli utenti nel correre a rendere pubbliche vulnerabilità e proof-of-concept…

Pensate però a questo aspetto da un punto di vista diverso: se foste nei panni di Microsoft non fareste del vostro meglio per evitare di esssere oggetto di tali critiche? Quest’approccio è forse il miglior compromesso possibile per fare ottime patch senza mettere seriamente a rischio la sicurezza degli utenti: se questo è basato sull’impegno pubblico a risolvere ogni vulnerabilità di cui si venga a conoscenza, sia quelle pubbliche che quelle comunicate in modo privato, io penso, da utente, che possa essere un approccio accettabile.

Voi cosa ne pensate?

Feliciano

Other related posts/resources:

Comments
  • La tua opinione è più che condivisibile.

    Sono del parere che Microsoft sia sempre all'altezza di garantire un adeguato livello di sicurezza, non per niente che è un po' il sistema di riferimento per molte aziende/privati. Le facili critiche nei vostri riguardi a mio avviso arrivano spesso da gente poco informata e/o poco desiderosa di farlo... Di VERI "addetti ai lavori" in questo campo ce ne sono pochi. Ci sono "tecnici" IT che pur non avendo le competenze specifiche sulla questione, sentenziano contro Microsoft dicendo che con altri prodotti non ci sarebbero problemi...

    Personalmente mi reputo "fedele" ai vostri prodotti e NON MI SENTO in pericolo sulla sicurezza.

    Allo stesso tempo stimo Molto Google (preso da te come esempio)  e il suo modo di operare anche se ricordo qualche mese fa quando avevano subito un attacco ai loro sistemi... e come lo avevano subito?? Da Internet Explorer 6!

    Ora... a parte tutto, voi rilasciate aggiornamenti tutto sommato regolari, se poi un utente/azienda non vi "ascolta"...

    Mi sono un po' perso, ma spero che il mio commento positivo nel vostro modo di operare in questo ambito sia arrivato. Buon lavoro!

  • Ritengo che siano stati fatti dei passi in avanti notevoli da parte di Microsoft e non posso che esserne contento.

    E' vero,spesso la critica maggiore mossa verso Microsoft è proprio quella della lentezza dei rilasci,non considerando appunto che la base di sistemi su cui si deve mettere la patch e la varietà di questi è ben più alta rispetto ai concorrenti.

    Oltretutto anche nei forum si legge spesso questa critica verso Microsoft,tolto poi che la metà degli utenti non installa nessuna patch perchè "chissa cosa vanno a toccare quelli la!"

    Ma dopotutto quando si critica di Microsoft (che è vero,di errori ne ha comunque fatti..)le visite si alzano esponenzialmente.

    Per conto mio "Pollice alzato" ;)

  • @Patrick:

    "non per niente che è un po' il sistema di riferimento per molte aziende/privati"

    Monoipolio, abuso di posizione dominante, preinstallazione a forza sul 99% dei pc, ti sembra poco?

    Più che sistema di riferimento, la chiamerei imposizione forzata con tutti i mezzi possibili, infatti dove non è imposta, arranca... vedi il famigerato Phone 7... un successone direi :)

    Poi scusami tanto, critichi i non amanti di m$ dicendo che sono dei fanboy, ma ti sei mai chiesto se tu non sei la stessa cosa nei confronti di m$? sai... non avendo visto altro...

    Saluti

  • @RealEnneci io dico che la critica nei confronti di Microsoft sulla vulnerabilità, sulla sua politica di non rilasciare subito un aggiornamento tanto per dire "l'abbiamo risolto", ma ti verificare invece al meglio come rilasciarlo, di effettuare prima vari test, di valutare l'impatto con quante più situazioni software possibili, ecc... a mio avviso è una BUONA politica.

  • Ho un dubbio sul settaggio di EMET 2.0 Microsoft.

    E' sufficiente settare come applicazioni i file .exe (esempio firefox.exe,  excell.exe ......) oppure includere anche le .dll ed i .ocx richiamati dalle suddette applicazioni e potenzialmente vulnerabili (quindi i componenti aggiuntivi o estenzioni come acrobat, flash, java, ecc.ecc.) ??

    Grazie

    eugenio borghese

  • @eugenio: è sufficiente aggiungere solo i file .exe, usando process explorer si noterebbe che tali estensioni/add-on sono caricati sotto i rispettivi .exe (vedi rationallyparanoid.com/.../microsoft-emet-2.html)

  • perfetto, grazie.

    Mi sempbra un'ottima difesa proattiva per vulnerabilità 0 day

    grazie ancora,

    eugenio

  • @Feliciano,

    quindi se (con tutti i rischi che corro) setto come applicazioni "services.exe" e "explorer.exe" dovrei filtrare tutti i servizi avviati e tutti i programmi "utente", cioè il 99% di quel che gira sul PC ??

    Provo su un pc (XPsp3 full update) laboratorio ........ vediamo se va in blue "screen of death"

    ciao, eugenio

  • @Patrick

    Sicuramente è una buona politica, però come mai proprio oggi il pc del mio capo, dopo aver fatto windows update, ha avuto il pc bloccato per una mattinata?

    L'uniico "accrocchio" possibile è stato quello di usare il ripristino di configurazione di sistema... sai, dopo 3 ore fermo alla stessa schermata uno si scoccia...

    Ma non erano testati gli aggiornamenti?

    Chi paga il fermo macchina?

    Windows è un software commerciale, dov'è la garanzia?

    Cmq c'è un lato positivo... arrivare in ufficio e sentirti il capo che bestemmia ogni giorno dietro a Windows 7, è una goduria che non riesco a descrivere...

    Io e i miei colleghi Linari ci spacchiamo dalle risate, anche xche i problemi qui da noi nascono proprio solo sulle postazioni uindous... che strano...

    Buona giornata

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment