Stasera rilascio straordinario del bollettino relativo ad Internet Explorer


In una corsa contro il tempo per testare nel miglior modo possibile la patch correttiva relativa alla recente vulnerabilità pubblica su Internet Explorer, di cui vi ho detto nel mio post precedente, ecco giungere l’annuncio del suo rilascio per stasera 17 dicembre alle 19.00 ora italiana:

Microsoft Security Bulletin Advance Notification for December 2008

Credo sia stato finora uno degli sforzi più notevoli in termini di rapidità rispetto ad un intero ciclo di investigazione, realizzazione patch, test (la parte più impegnativa, ricordate che si realizza una patch per tutte le versioni di Windows attualmente supportate, e per tutte le 27 lingue!) e rilascio al pubblico: soli 8 giorni! Se vi sembrano tanti, confrontateli con i tempi medi delle piattaforme concorrenti (Microsoft è la più veloce nei cosiddetti Days Of Risks con 24,22 giorni di media, e il primo vendor che si avvicina a questo valore ha una media di 72 giorni).

Pur rimandando a stasera la consueta analisi di rischio, posso già anticiparvi un paio di considerazioni:

  • E’ più grave del solito? Perché si sta operando un rilascio straordinario?
    La gravità risiede nella diffusione che si sta osservando di siti web infettati tramite gli attacchi di SQL Injection di cui detto nel post precedente. In questo modo, anche siti che gli utenti ritengono affidabili potrebbero risultare veicolo di infezione.
  • Dal punto di vista tecnico la vulnerabilità è più pericolosa del solito?
    No: t
    ecnicamente parlando è una vulnerabilità di IE in linea con quelle risolte finora dalle patch cumulative di IE. In particolare se si viene attaccati il codice non autorizzato può agire solo utilizzando i privilegi dell’utente loggato: utenti non amministratori sono meno a rischio. Inoltre gli utenti che utilizzano Windows Vista sono più protetti grazie al meccanismo di Protected Mode.
  • Tutte le versioni di IE sono vulnerabili?
    Sì, ma al momento gli attacchi interessano solo Internet Explorer 7.
  • Sarà una patch cumulativa?
    No. Per proteggere Internet Explorer da tutte le vulnerabilità note, i clienti devono aver messo l’ultima cumulativa e installare la patch che verrà rilasciata stasera.

Altri post/risorse correlate:

  • Advance Notification for December 2008 Out-of-Band Release
  • Security Advisory 961051 su Internet Explorer: nuovi workaround
  • Post del team SWI: Clarification on the various workarounds from the recent IE advisory
  • i post della categoria “Security Bulletin and Advisory Risk Analysis
  • Riepilogo analisi Bollettini e Advisory
  •  

    Share this post :

    Comments (27)

    1. dovella says:

      Grazie Feliciano, aspettavamo con ansia questo rilascio!!!

    2. Andrea says:

      Fantastico! ma per quanto riguarda messenger 2009 ci sono dei problemoni.Ad esempio quando lo installo la percentuale della barra mi arriva fino al 100% dopodichè ritorna indietro e mi disistalla tutto perkè???

    3. dovella says:

      @ Andrea

      che c azzecca messenger qui? per problemi legati alla suite live chiedi assistenza qui http://www.windowslivehelp.com/

    4. Simone says:

      c’è una soluzione geniale;;;;;;

      usare altri browser…..

      Incredibile sarà la milionesima falla di explorer da quando è nato…anche gli altri browser hanno falle, ma non come explorer non ce ne!!!

      …certo è da applausi il tempo record della creazione della toppa,,, ma è uguale io sono per non usare explorer e passare a firefox,,, ma come velocità e leggerezza per adesso l’incredibile uscita di google con CROME supera tutti!!!!

      personalmente ho smesso di usare explorer da anni!!!!

      cmq ogniuno fa quel che vuole e quindi buon download dopo le 19….

      Saluti

    5. Paolo says:

      Scusate ma, pur considerando la tendenza della stampa al rumor scandalistico per fare "notizia", mi sembra che il modo in cui presentate il problema (come se fosse solo un problema di malware o poco altro) non lo trovo molto in linea con quanto leggo su tutti i siti. Sono solo gli altri che hanno un atteggiamento "anti-microsoft" o in questi casi vi nascondete dietro un filo d’erba? qui si tratta, se è vero, che qualcuno, usando questa falla, possa catturare le mie user e password. Altrimenti alcuni enti come paypal non avrebbero preso certi provvedimenti.

      Allego come esempio articolo di Repubblica

      "Una falla in Internet Explorer

      mette a rischio milioni di utenti

      Il buco di sicurezza scoperto dai pirati informatici. L’utente rischia il furto di password e i dati personali. Microsoft lo sa, ma al momento non ha fornito un rimedio. Forse a gennaio. Gli esperti: per ora usate browser alternativi di ALESSANDRO LONGO

      NAVIGARE tramite il browser più popolare, Internet Explorer di Microsoft, è ora piuttosto rischioso. L’utente corre il pericolo che gli rubino le password e i dati personali, per colpa di un buco di sicurezza scoperto dai pirati, nel codice del browser. Microsoft lo sa, ma al momento non ha fornito un rimedio: bisognerà aspettare, si prevede, la prossima tornata di aggiornamenti automatici per il browser, attesa per il 9 gennaio.

      Il pericolo è stato scoperto la settimana scorsa, ma nel frattempo è montato a tal punto da spingere alcuni esperti di sicurezza (come quelli di Trend Micro) a dare un insolito e radicale consiglio agli utenti: di non usare il browser finché il problema non sarà risolto da Microsoft. E quindi di navigare solo con alternative quali Firefox, Safari, Chrome. Microsoft consiglia alcuni rimedi provvisori, per navigare con Internet Explorer evitando il pericolo. Sono però configurazioni da fare sul computer, complicate per gli utenti alle prime armi. Certo è più facile cambiare browser, almeno temporaneamente.

      La falla di sicurezza, del resto, riguarda tutte le versioni di Internet Explorer, persino la nuovissima beta di Internet Explorer 8. Funziona così: i pirati riescono a nascondere un programma infetto su siti, anche legittimi – finora ne sono stati colpiti 10 mila e il conto continua a crescere, secondo gli esperti. Quando l’utente naviga con Internet Explorer su quei siti, riceve un attacco. Il sito cioè, sfruttando la falla del browser, gli invia il programma, che si installa sul suo computer e diventa d’allora in poi come una porta sempre aperta per i pirati. Che potranno così rubargli le password (via internet e senza che l’utente se ne accorga) o compiere altre azioni. Possono danneggiare l’utente in vario modo, non c’è limite alla fantasia: basta programmare in modo diverso il codice infetto che fa parte dell’attacco.

      Ci mancava solo questa per coronare un anno terribile per il browser di Microsoft, mai come adesso super assediato dai rivali. Per la prima volta in dieci anni, la quota di mercato di Internet Explorer è scesa sotto il 70 per cento (al 69,8 per cento), secondo i rilievi di Net Applications. Al secondo posto Firefox, con il 20,8 per cento, seguono Safari di Apple (7 per cento) e Chrome di Google (0,83 per cento).

      Quest’ultimo è la nuova spina nel fianco di Microsoft e certo ha solo iniziato a dargli preoccupazioni. Google infatti l’ha appena portato alla versione definitiva (togliendolo dalla beta): equivale a dare il via allo scontro diretto nella guerra dei browser. Senza più nascondersi dietro il paravento della parola "beta".

      La prima vera replica arriverà nei primi mesi del 2009, quando è attesa l’uscita della versione definitiva di Internet Explorer 8. Nel frattempo è possibile che il browser di Microsoft perda altri utenti e questa nuova falla forse contribuirà al declino. Bisogna però evitare l’errore opposto di credere gli altri browser più sicuri in senso assoluto, rispetto a Internet Explorer 7 (mentre le precedenti versioni è meglio ormai smettere di usarle, senza dubbio). Di tanto in tanto compaiono falle di sicurezza anche per gli altri browser e di recente uno studio ha visto che sono Chrome e Safari i browser meno affidabili per sicurezza delle password.

      Le falle che colpiscono Internet Explorer rischiano però di fare più danni, per almeno due motivi. Primo, perché è un browser usato dall’ampia maggioranza di utenti, spesso inesperti e quindi meno capaci di proteggere il proprio computer. Secondo, perché a differenza di alcuni dei suoi concorrenti principali non è open source e quindi non si può contare su una community di utenti esperti e sviluppatori che rimedi, con tempestività, alle falle scoperte. Bisogna per forza aspettare che sia Microsoft a pubblicare una patch"

    6. Feliciano Intini says:

      Certo Simone, ognuno è libero di usare il browser che vuole, ma passare ad un altro browser potrà forse sembrare una soluzione "geniale" se osserviamo questo specifico problema, fino a stasera. Ma se guardiamo al livello generale di esposizione in termini di numero di vulnerabilità Firefox NON è messo meglio di IE: potresti essere esposto (anzi gli utenti FF sono esposti statisticamente a più rischi) agli stessi problemi senza saperlo, senza i clamori di questa visibilità.

    7. Feliciano Intini says:

      Per Paolo: ho avuto personalmente modo di spiegare meglio il mio punto di vista a Repubblica : http://www.repubblica.it/2008/11/sezioni/tecnologia/microsoft-7/falla-toppa/falla-toppa.html

    8. suc says:

      ridicolo come fino a ieri si diceva di usare altri browser quando poi oggi scopriamo che anche Firefox oggi ha patchato una dozzina di falle di sicurezza critiche che permettono di eseguire codice arbitrario da remoto. Ma come non si diceva di usare Firefox fino a ieri per pararsi il culetto da IE? ROFL!

      http://blogs.zdnet.com/security/?p=2322

      "a new version of Firefox 3 to plug about a dozen security holes that could lead to remote code execution attacks, browser crashes and information disclosure issues.

      "

      Alla fine anche Firefox si dimostra insicuro tanto quanto IE, anzi è meno sicuro perchè non ha manco la modalità protetta

    9. Ivan says:

      Firefox su Linux da ormai 8 anni !

      Niente antivirus, niente antispyware … e non ho preso mai un virus o qualche altra cazzata !

    10. Diego says:

      Ci sarebbe un’altra precisazione da fare:

      «Ci abbiamo messo otto giorni per sviluppare la patch (la toppa, ndr.) per quella falla di sicurezza. A un utente medio potrebbe sembrare tanto tempo, ma è un record. In media Microsoft sviluppa patch ogni 24 giorni. La seconda azienda più veloce, dopo di noi, ci mette 72 giorni»

      Come spiegato anche a pagina 27 dello studio di Jeff Jones non è bene mescolare nella stessa frase il DoR e il time to fix. Sono due cose diverse… Poi anche «Microsoft sviluppa una patch OGNI 24 giorni» è sbagliata come frase!

    11. Alessandro says:

      Domanda:devo reinstallare Win xp home e ho a disposizione il SP3. Quando,una volta installato,mi connetto a windows update per gli ultimi aggiornamenti sono a rischio? O è meglio scaricarsi la patch singola da un altro pc,installarla e poi fare un update per gli utlimi aggiornamenti?

      Grazie ;D

    12. Anonymous says:

      Feliciano Intini sul suo blog ha annunciato che questa sera (17/12/2008) alle 19:00 sarà rilasciato un

    13. Siagrio says:

      Ho aggiornato in Vista alle 19.10 di oggi

      L’aggiornamento è KB960714

      E’ quello tanto atteso?

    14. Andre says:

      @Siagrio

      si, è la kb960714

      @Feliciano

      Ma il wsusscn2.cab aggiornato alla ms08-078 non è ancora stato rilasciato?

    15. security says:

      Premetto che non lavoro per Microsoft e che non voglio innescare  alcun flame (ammesso che già questo non lo sia) ma credo che chi accusa Microsoft al solito modo o lo fa con cinismo o non ha letto le innumerevoli vulnerabilità che vengono rilasciate anche per altri browser. E spesso si dimentica che un bug nella gestione della same origin policy  è ben più grave (dipende ovviamente dal contesto nel quale viene sfruttata ) rispetto ad una vulnerabilità di tipo remote code execution che, sui sistemi Microsoft, va ricordato,  non è cosi banale da sfruttare via browser.

    16. Antonio Napoli says:

      Ciao,

      Mi rivolgo a tutti gli utenti di Mircosoft Explorer:

      ma perche’ non cominciate ad usare Mozilla??

      A parte il fatto che e’ enormemente più sicuro, ma poi funziona molto meglio.

      Tanto per dirne una: sapete cosa sono gli add-ons??

      Io posso installare tutti i dizionari, di cui ho bisogno, che mi permettono, anche nel blog dove in questo momento vi sto scrivendo, di avere in tempo reale la correzione di quanto sto scrivendo. Potete fare lo stesso con microsoft explorer? E questo e’ solo un piccolo esempio. Di add-ons ve ne sono a centinaia…

      In generale, cominciate ad usare un sistema operativo migliore di quelli della Microsoft. Ovvero passate a Linux e cominciate a sentirvi liberi di non pagare la tassa di 100 € su ogni PC, come ho fatto io che il PC me lo sono assemblato da solo senza Windows:-)!!!

      Antonio

    17. Antonio Napoli says:

      Confermo quanto detto da Ivan.

      Ho Linux da anni, e noi non sappiamo cosa voglia dire mailware, virus, etc. …

      Continuate a pagare la tassa microsoft, e ad aspettare le loro patch…

      Sarebbe meglio passare ad un sistema operativo libero, dove chiunque puo’ intervenire sul codice sorgente…

      saluti!

      Antonio

    18. Siagrio says:

      Grazie della risposta relativa a KB960714

      Che cosa significa  quello che hai aggiunto come post scriptum?

      Ma il wsusscn2.cab aggiornato alla ms08-078 non è ancora stato rilasciato?

      17 December 08 at 1:56 PM

    19. babylon says:

      http://support.microsoft.com/?kbid=960714

      "La versione inglese (Stati Uniti) di questo aggiornamento software Installa file con gli attributi "…

      pero’, un hotfix con le palle… :)))

      ma in ms non vi avanzano due nicche da mollare a qualche povero cristo invece di continuare a far ridere i non english con i traduttori automatici…?

      cioe’, non siete un’ azienda cinese che commercializza antizanzare elettronici…

      o no…?

    20. Anonymous says:

      Puntuale rispetto al preavviso, stasera Microsoft ha rilasciato il bollettino straordinario " MS08-078

    21. Alessandro says:

      Ma per chi, come me, non gli funziona l’update automatico (sono in Qatar ora ed è, probabilmente, colpa del firewall aziendale a cui ho collegato il notebook), ha la possibilità di scaricare l’esecutivo da qualche prte?

    22. A chi dice che Firefox è sicuro:

      http://www.mozilla.org/security/known-vulnerabilities/firefox30.html#firefox3.0.5

      Ma a voi il pop-up che vi chiede di installare la nuova versione non lo fa vedere? Oppure vi chiudete gli occhi sperando che non sia quello che sembra?

      E comunque io uso Firefox

    23. pldo says:

      IE è in assoluto la peggiore accozzaglia di codice che si conosca… inutile sperare in una patch. Cambiate browser.

    24. Antonio Napoli says:

      Per Roberto Scaccia:

      firefox e’ gratuito, non so se questo e’ noto…

      Explorer lo si paga, e’ incluso nella tassa microsoft che esiste su tutti i pc preconfezionati che vengono venduti…

      Mi sembra una differenza sostanziale….

      Saluti

      Antonio

    25. @antonio.

      Hai ragione! Cavolo non mi ero accorto che Firefox fosse gratuito. Ti ringrazio per avermelo fatto notare.

      E giustamente essendo open, può avere milioni di bug di sicurezza. Oppure visto che Internet Explorer si paga i bug di sicurezza non ci devono essere, vero?

      Che logica stringente….

      Non è che per caso il software, indipendentemente dal suo modello di business, ha dei bachi di sicurezza che debbono essere fixati il prima possibile?

      Se si paga il tempo deve essere più corto (non c’è che dire) e il numero di bug dovrebbe essere limitato.

      Scommettiamo che quando Firefox raggiungerà lo share di IE, avrà lo stesso numero di bug?

    26. Antonio Napoli says:

      @ Roberto Scaccia

      sono lieto d’essere stato d’aiuto. E’ importante sapere che firefox e’ gratuito…

      Non so te, ma se io devo pagare per qualcosa, quel qualcosa deve funzionare almeno meglio di quello che e’ gratuito.

      Ad ogni modo se la mettiamo sulla sicurezza, Windows, come diciamo a Napoli, sta inguaiato rispetto a sistemi operativi basati su Unix.

      Riguardo al fatto che il giorno che Mozilla avrà’ lo share di mercato di IE, avrà’ lo stesso numero di bachi…Credo che ne’ tu ne’ io lo possiamo affermare.

      Quello che possiamo affermare, e che nessuno puo’ contestare, e’ che firefox in quanto software open source puo’ offrire delle funzionalità’ che Explorer puo’ offrire solo se i signori di Microsoft lo vogliono, e non se il pubblico lo propone, Vedi add-ons di firefox.

      Io invece vorrei vedere quante persone comprerebbero Windows se non fosse praticamente obbligatorio per la massa comprarlo insieme al PC acquistato. Tu cosa ne dici? raggiungerebbe il 30% del mercato?.-) Linux lo soppianterebbe di brutto…

      Chissà quali accordi ci sono fra Microsoft e tutti i governi che hanno imposto la vendita di PC con questo scadente sistema operativo. Ad ogni modo, in Germania almeno dove io vivo, si stanno diffondendo i PC senza sistema operativo. E presto Microsoft vedrà le sua vendite ridursi drammaticamente,

      Saluti

      Antonio

    27. francesco@napoli says:

      Salve….

      a proposito di browser, ho appena letto della falla in IE ma vorrei porre un’altra domanda.

      Io fino a ieri avevo 2 browser, Firefox e IE7. Navigando in Umts anche se la velocità è abbastanza elevata uso qusi sempre Firefox per la leggerezza nell’apertura delle pagine.

      IERI HO SCARICATO LA VERSIONE BETA DI SAFARI che sinceramente ha l’apertura delle pagine veloce, (per una lettura di javascript piu’ veloce,)  per win.Un browser che non avevo mai adoperato.

      I mieri quesiti, sono grato se rispondiate, sono banali essendo un pivello del pc:

      -Cosa ne pensate della versione beta di SAFARI

      -Avendo contemporaneamente piu’ browser aperti comporta qualche rischio o RALLENTAMENTO?

      sono le prime domande che da NON esperto ponngo s epoi vorrete aggiornarmi piu’ dettagliatamente saro’ grato…

      Saluti

      Francesco