18 December 2008

Ecco il bollettino straordinario MS08-078 su IE, ed alcune considerazioni sullo scenario di rischio

Puntuale rispetto al preavviso, stasera Microsoft ha rilasciato il bollettino straordinario "MS08-078 - Security Update for Internet Explorer (960714)". L'analisi di rischio è presto fatta (anche perché la maggior parte dei dettagli importanti è stata anticipata in occasione dell'advisory e del preavviso):

si tratta di una vulnerabilità di tipo Remote Code Execution che interessa tutte le versioni attualmente supportate di Internet Explorer e che permetterebbe di far eseguire del codice non autorizzato nel contesto di sicurezza dell'utente loggato utilizzando pagine web opportunamente modificate come vettore di attacco.
Le modalità di rilevamento e distribuzione non prevedono eccezioni rispetto alla norma delle patch di Windows/IE: gli utenti finali che hanno gli aggiornamenti automatici nella loro impostazione predefinita (cioé sono abilitati) si ritroveranno questa patch installata in modo automatico; le aziende potranno utilizzare tutti i loro consueti strumenti di aggiornamento. Non sono note problematiche di compatibilità applicativa.

Chi mi segue mensilmente nella lettura di queste descrizioni di dettaglio, ormai noiosissime :-), avrà appunto notato che non c'è nulla di nuovo, nulla di eclatante. Quali sono quindi le novità? Quali gli elementi dello scenario di rischio che sono mutati alla luce di questo evento? Grazie al significativo interesse di questa problematica da parte dei media online, ho avuto la possibilità di commentare e fare diverse riflessioni al riguardo: mi perdonerete se, invece di ripetermi, vi invito a consultarle direttamente sugli articoli che sono scaturiti da queste brevi interviste, approfittando dell'occasione per ringraziare giornalisti e redazioni della disponibilità ad accogliere le mie considerazioni:

Luca Annunziata su Punto Informatico - giovedì 18/12/2008

Gianni Rusconi su Il Sole 24 Ore.com - mercoledì 17/12/2008

Alessandro Longo su Repubblica.it - mercoledì 17/12/2008

Federico Cella su VitaDigitale.Corriere.it - mercoledì 17/12/2008

Post e video su MClips

Su due aspetti, già velocemente toccati in queste interviste, mi preme ritornare per rimarcarli e sottoporli alla vostra riflessione:

non credo che questo episodio sia la dimostrazione della supremazia di altri browser rispetto ad IE rispetto agli aspetti di sicurezza. Assodato che tutti i browser alternativi soffrono di altrettante, se non numericamente maggiori vulnerabilità, questi attacchi diretti solo verso IE e sferrati subito dopo l'emissione ordinaria dei bollettini Microsoft sono la palese conferma della predilezione, da parte dei criminali informatici, della piattaforma e della modalità che può portare alla compromissione del maggior numero possibile di sistemi con il minor sforzo. L'uso di un browser alternativo espone quindi ad analoghi rischi, per certi versi più subdoli perché non eclatanti, non sbandierati. L'utente non deve illudersi che le altre piattaforme siano immuni da questi problemi: potrebbero non essere prese di mira dai malintenzionati, per ora, perché non conveniente, ma anche questo non lo si può affermare per certo, e di sicuro non sulla base di quanti articoli urlano la presenza di attacchi in circolazione. In quest'ottica, pur con una considerazione sfacciatamente di parte :-), mi sento di ribadire il primato di Microsoft rispetto agli altri vendor alla luce di tutto lo sforzo di contenimento delle vulnerabilità (leggi SDL) e dei processi di incredibile reattività in caso di emergenze come questa, che personalmente ritengo essere le migliori garanzie sulla tutela della sicurezza dei clienti.
Ribadita l'assoluta "normalità" della tipologia di questa vulnerabilità, come mai si è giunti ad uno scenario di rischio con un numero significativo di siti web infetti, tale da far diventare urgentissima una patch che altrimenti sarebbe stata ordinaria? Risposta: la mancata responsible disclosure, e la latitanza della sicurezza a livello applicativo web. Perché si punta il dito solo sulla vulnerabilità lato client, ora corretta, e non si opera alcuna riflessione sulla piaga della miriade di siti web e applicazioni web configurati in modo assolutamente insicuro? (e questi senza riguardo per la piattaforma utilizzata, il problema delle vulnerabilità che espongono ad attacchi di SQL Injection è trasversale: anzi, c'è chi vanta una indiscussa maggiore quota di mercato sui web server, e di certo non è Microsoft IIS e le sue applicazioni...). Perché non si inizia a prendere sul serio il tema della revisione di tutto il codice applicativo, ognuno per la propria responsabilità, non solo di quello Microsoft?

Vi lascio riflettere e commentare.

Altri post/risorse correlate:

estratto della mia pagina "Riepilogo analisi e Risorse su Security Bulletin e Security Advisory di Microsoft" appena aggiornata:

Post del MSRC:
- MS08-078 Released

Post del MMPC:
- Limited Exploitation of Microsoft Security Advisory 961051
- The new IE exploits for Advisory 961051, now hosted on pornography sites

Post del team SWI:
- Clarification on the various workarounds from the recent IE advisory

Share this post :

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS

Comments

# Ecco il bollettino straordinario MS08-078 su IE, ed alcune considerazioni sullo scenario di rischio | GrabberNews.com said:

PingBack from http://www.grabbernews.com/ecco-il-bollettino-straordinario-ms08-078-su-ie-ed-alcune-considerazioni-sullo-scenario-di-rischio-66771.html

18 December 08 at 1:08 AM

# SM said:

Grazie per l'interessante articolo. Il problema è che per quanto sia brava Microsoft, non riuscirà mai a convincere la stampa che quanto fa è lodevole. Io ringrazio per il servizio windowsupdate (gratuito!) e lo utilizzo sempre. Non ho mai avuto problemi e non è un reboot al mese che mi mette in crisi.

Paradossalmente gli aggiornamenti rilasciati da Microsoft fanno più male che bene, la stampa li utilizza come 'prova' che il software Microsoft è bacato. In questi giorni sono usciti diversi aggiornamenti per altre piattaforme e browser, ma nessuno ne parla.

Microsoft sbaglia dove parla sempre di nuove funzionalità (in parte copiate da altri come è normale che sia) e dimentica di dare l'accento alla sicurezza.

18 December 08 at 1:39 AM

# poohlover63 said:

Perfettamente daccordo con te: Tant'è che contemporaneamente usciva la nuova versione 3.05 di Firefox,

che correggeva bugs su quella piattaforma!

18 December 08 at 2:38 AM

# Blog Team TechNet Italia said:

Se non ne siete già a conoscenza, vi segnalo che ieri sera è avvenuto il rilascio di un Security Update

18 December 08 at 4:28 AM

# Pierandrea said:

Mi permetto anch'io di spezzare una lancia a favore di MS, da più di 8 anni (non certo un'enormità) faccio il sistemista in una grande azienda gestendo le problematiche lato client e lato server di un ambiente quasi totalmente MS. Ho imparato ad apprezzare MS per l'organizzazione del servizio e per l'interoperabilità degli applicativi sempre più profonda. Certo non è tutto rose e fiori ma nessuno è esente da problemi, non ultimo Firefox (visto che parliamo di browser) o Linux (esempio classico e ricorrente di quelli anti-MS, e devo dire che le segnalazioni di security patch di Red Hat che ricevo non sono certo minori ne di numero che d'importanza).

Credo che i media giochino facilmente con il discorso sicurezza su Ms perchè fa più notizia (lo conoscono tutti) che non se esce un bug correttivo per Firefox o per Red Hat (solo per tecnici, improvvisati e non) ... un pò come per Vista (meravigliosa l'idea commerciale del "Project Navajo"); forse ciò che dovrebbe fare MS è porre l'accento sull'ottica del miglioramento, un pò come le case automobilistiche che segnalano ai clienti di auto nuove la sostituzione delle parti difettose, all'inizio era visto come l'ammissione di produrre auto difettose ora è visto come un vanto perchè produrre un auto difettosa e non ammetterlo è più grave che ammetterlo e porvi rimedio ...

18 December 08 at 6:28 AM

# cloza said:

Signori, a beneficio della "Sicurezza", una linea meno partigiana e vittimista, non guasterebbe al blog ;-)

19 December 08 at 3:09 PM

# Security Blog di Feliciano Intini said:

Come anticipato lo scorso venerdì, questa emissione di sicurezza di febbraio 2009 vede la pubblicazione

10 February 09 at 7:08 PM

Comment Policy: No HTML allowed. URIs and line breaks are converted automatically. Your e–mail address will not show up on any public page.

Name (required)
Your URL (optional)
Comments (required)

Enter Code Here: Required
Remember Me?

Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2)

Notizie, best practice, strategie ed innovazioni di Sicurezza e Virtualizzazione su tecnologia Microsoft

Search

A proposito di me ...

Assolutamente da non perdere (mini-portali tematici)

Blog e risorse Microsoft sulla Sicurezza

My Super Microsoft Security Portal

Gocce di Blogosfera ... (alcune mie letture)

Microsoft Italia

Top malware infections

Conficker worm: considerations and resources for effective containment

Blog Information Profile for felicin