Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2) : IE8 Security

Beta delle Security Baseline per Windows 7, BitLocker, e IE8

Feliciano Intini — Tue, 14 Jul 2009 16:45:37 GMT

Sono appena state pubblicate le beta delle Security Baseline per Windows 7, BitLocker, e IE8 : Sign-Up Now for the New Windows 7 and Internet Explorer 8 Security Baselines Beta Opening July 13th! Per chi ancora non sapesse cosa sono, ricordo che le Security...(read more)

Analisi di rischio sui Bollettini di sicurezza Microsoft – giugno 2009

Feliciano Intini — Wed, 10 Jun 2009 02:31:11 GMT

L’emissione dei bollettini di sicurezza Microsoft di questo mese è caratterizzata dal rilascio di 10 bollettini , che risolvono in totale 31 vulnerabilità . Vi riporto la tabella riepilogativa dell’ exploitability index da cui si evince che quasi tutti...(read more)

Rilasciato Internet Explorer 8

Feliciano Intini — Thu, 19 Mar 2009 20:33:25 GMT

Rilancio telegraficamente l'importante annuncio del rilascio sul web di Internet Explorer 8 , dato dai due blog di IE e Windows e ripreso da Renato: Internet Explorer 8 Final Available Now Final Release of Internet Explorer 8 Now Available Internet Explorer...(read more)

Disponibile IE8 RC1 con la nuova protezione anti-Clickjacking (che fa discutere)

Feliciano Intini — Thu, 29 Jan 2009 19:16:33 GMT

L'impegno pressante nel nuovo ruolo (e i festeggiamenti ;-) hanno fatto slittare la mia ripresa di questa importante segnalazione, lanciata dal puntualissimo Renato su Technet e ieri ripresa da Lorenza su MClips: Disponibile Internet Explorer 8.0 RC 1...(read more)

Security Advisory 961051 su Internet Explorer: nuovi workaround

Feliciano Intini — Sat, 13 Dec 2008 14:43:11 GMT

Anche se due giorni fa non ho avuto la possibilità di aggiornarvi tempestivamente sull'uscita di questo advisory " Microsoft Security Advisory (961051) - Vulnerability in Internet Explorer Could Allow Remote Code Execution ", ora ho modo di farlo in modo...(read more)

Disponibilità di IE 8 Beta 2 in italiano e riepilogo post sulla sicurezza di IE8

Feliciano Intini — Wed, 17 Sep 2008 19:11:19 GMT

Approfitto della necessaria segnalazione della disponibilità di Internet Explorer 8 Beta 2 in italiano come riportato da Renato , per riportarvi l'insieme dei post del blog di IE nei quali sono stati forniti i dettagli delle varie funzionalità...(read more)

Google Chrome apre la "1st World Browser War": chi vincerà la battaglia su Sicurezza e Privacy?

Feliciano Intini — Wed, 03 Sep 2008 16:40:20 GMT

E' indubbio che l'arrivo di Google Chrome segnerà il vero e proprio scoppio della "1a Guerra Mondiale dei Browser" (magari le guerre fossero tutte combattute a questo livello... :-(...): non voglio dire che fino ad ora il confronto IE-Firefox...(read more)

Disponibile IE8 Beta 2, con importanti novità in area Privacy

Feliciano Intini — Thu, 28 Aug 2008 00:46:00 GMT

La notizia merita una brevissima interruzione del silenzio blogging che mi sono imposto durante le ferie (secondo la descrizione di Simona sono classificabile tra i "fortunati", visto che sono ancora in vacanza, giusto per quest'ultima, terza...(read more)

IE8 Security: SmartScreen® Filter, il nuovo Phishing Filter con funzionalità anti-malware

Feliciano Intini — Thu, 03 Jul 2008 12:40:45 GMT

Ieri è stata pubblicata sul blog di IE una raffica di informazioni sulle nuove funzionalità di sicurezza che verranno incluse in IE8 . La prima che vi riporto è quella che impatta più direttamente l'esperienza dell'utente, il nuovo...(read more)

IE8 security: i miglioramenti negli ActiveX

Feliciano Intini — Thu, 08 May 2008 12:51:03 GMT

E' da poco uscito il secondo post di approfondimento delle novità di sicurezza di Internet Explorer 8, come vi ho segnalato nello scorso post a proposito del DEP/NX.

Questa volta il tema è tra i più importanti: i miglioramenti negli ActiveX. Come ho avuto di dire più volte, gli ActiveX hanno da sempre rappresentato una sorta di tallone di achille per Internet Explorer per un motivo molto semplice: di fatto esprimono l'eterno, delicato, equilibrio da raggiungere tra ricchezza di funzionalità ed esigenze di maggiore sicurezza

gli ActiveX sono di fatto dei componenti pensati per estendere le funzionalità del browser e quindi per arricchirlo: la loro esistenza ha di fatto avvantaggiato tutto il mercato delle aziende che sviluppano software per il web...
d'altra parte incorporare nel tuo sistema un componente sviluppato da una parte terza su cui Microsoft non può effettuare un controllo di qualità non è il massimo dal punto di vista della sicurezza: ...ma il modello è nato quando la sicurezza non era una preoccupazione riconosciuta fuori dalle università...

Quando ci si è accorti che la rischiosità di questo modello era diventata elevata a causa degli attacchi che indirizzavano gli ActiveX scritti male (ossia non scritti secondo le best practice di secure coding) non si è potuto dire "OK, allora aboliamo il modello...": cosa ne sarebbe stato di tutte le applicazioni web che si appoggiano agli ActiveX per arricchire e personalizzare l'esperienza degli utenti sul web? L'unico percorso possibile è stato quello di avviare un irrobustimento del modello per contrastare via via le tipologie di minacce che si sono osservate, bilanciando sempre il guadagno in termini di protezione rispetto all'inevitabile impatto sulle applicazioni terze che rischiavano di non funzionare più. Il passo più deciso in questa direzione è avvenuto con i miglioramenti di sicurezza di IE6 nel Service Pack 2 di Windows XP, e i ritorni positivi di quella esperienza hanno alimentato i miglioramenti di IE 7, per giungere ora a queste nuove funzionalità in IE8, di cui vi fornisco un breve accenno delle più significative, invitandovi alla lettura completa del post di Matthew David Crowley per l'elenco completo:

Per-User (Non-Admin) ActiveX:

Running IE8 in Windows Vista, a standard user may install ActiveX controls in their own user profile without requiring administrative privileges. This improvement makes it easier for an organization to realize the full benefit of User Account Control by enabling standard users to install ActiveX controls used in their day-to-day browsing. If a user happens to install a malicious ActiveX control, the overall system will be unaffected, as the control was installed only under the user’s account. Since installations can be restricted to a user profile, the risk and cost of compromise (and, in turn, the total cost of administering users on a machine) will be lowered significantly. [...]

Per-Site ActiveX

When a user navigates to a Web site containing an ActiveX control, IE8 performs a number of checks, including a determination of where a control is permitted to run. This check is referred to as Per-Site ActiveX, a defense mechanism to help prevent malicious repurposing of controls. If a control is installed, but is not permitted to run on a specific website, an Information Bar appears asking the user whether or not the control should be permitted to run on the current website. [...]

Enforcing Per-Site with ATL SiteLock Technology

If your ActiveX control is designed for use only on your web site, then locking it to the domain of that Web site will make it harder for other sites to repurpose the control in a malicious manner. [...]

La lettura completa del post di IE spero vi trasmetta anche l'importante attenzione posta alle esigenze degli amministratori di sistema di poter gestire in modo semplice e granulare tutte queste nuove opzioni tramite Group Policy e avere il pieno governo delle impostazioni correlate con la sicurezza: ricordate il mio motto "...la sicurezza è nulla senza il controllo..."?

Add-on del 9 maggio 2008: come noterete dal trackback nei commenti, l'amico Renato su Technet ha ripreso ed ampliato il tema di questo mio post con un interessante approfondimento sul Kill Bit (con una serie di link a risorse utili sul tema).

Share this post :

IE8 security: DEP/NX abilitato by default

Feliciano Intini — Thu, 17 Apr 2008 17:40:55 GMT

Lo scorso evento dell'RSA Conference 2008 è stata anche l'occasione per incominciare a rilasciare qualche dettaglio sulle novità di sicurezza di Internet Explorer 8, che indirizzeranno principalmente la mitigazione del rischio in tre ambiti specifici di attacco: social engineering, vulnerabilità lato Web server e vulnerabilità lato browser.

Il primo dettaglio di cui ha trattato Eric Lawrence sul blog di IE è stata proprio la funzionalità di Data Execution Prevention (anche nota come No Execute).

Questa funzionalità era stata introdotta con il Service Pack 2 di Windows XP per poter bloccare una serie di attacchi diretti allo sfruttamento di vulnerabilità di tipo Buffer Overrun. Grazie all'uso di microprocessori che supportano questa funzionalità (credo che ormai lo siano quasi tutti) si riesce a impedire che un codice non autorizzato venga eseguito da una zona di memoria che sia stata marcata come adibita alla sola memorizzazione di dati, bloccando così il meccanismo alla base dell'efficacia di questo tipo di attacchi. Funzionalità egregia, se non fosse che in quel momento non è stato possibile "costringere" tutte le applicazioni ad utilizzarla per ovvi problemi di compatibilità applicativa. Così a partire da Windows XP SP2 in poi l'approccio è stato di tipo opt-in: le applicazioni che desiderano utilizzare il DEP lo dichiarano esplicitamente, altrimenti l'impostazione predefinita è di avere il DEP disabilitato. Risultato: funzionalità potente che potrebbe quasi azzerare i problemi di buffer overrun ed è stata tenuta praticamente spenta!!!

Grazie alla realizzazione di nuove API per il DEP/NX è stato possibile ridurre l'impatto dei problemi di compatibilità applicativa ed ora si è riusciti ad abilitare il DEP/NX per IE8 su Windows Vista SP1 e Windows Server 2008, con l'importante particolarità che i vantaggi di questa funzionalità protettiva ricadono anche su tutti gli add-on che IE carica, estendendo quindi la protezione anche sul software di terze parti.

Trovate gli altri dettagli più tecnici nel post che vi ho citato.

Share this post :