http://www.ilsoftware.it/articoli.asp?t ... ioni_10912
[Sicurezza] Brutta falla di sicurezza in Internet Explorer
Regole del forum
[Sicurezza] Brutta falla di sicurezza in Internet Explorer
http://www.ilsoftware.it/articoli.asp?t ... ioni_10912
Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer
Il vero problema è per Internet Explorer su Windows XP, che non riceverà ulteriori update e, quindi, rimarrà vulnerabile fino alla fine dei tempi... se ancora serviva un incentivo per abbandonarlo, eccolo servito! Oppure usare un browser alternativo, sperando che qualche programma di terze parti non utilizzi il motore di Internet Explorer... no grazie!!
Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer
- developerwinme
- Livello: Workstation (10/15)
- Messaggi: 1319
- Iscritto il: mer mag 01, 2013 1:35 pm
- Località: Como
- Contatta:
Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer
Condivido questa preoccupazione al 100%: questo sarà il primo problema critico degli utenti di Windows XP, speriamo che i danni siano limitati.Zane ha scritto:Per le versioni moderne di Windows mi aspetto la patch a brevissimo, quindi il problema è grave e non va sottovalutato, ma nulla con un impatto sul lungo periodo.
Il vero problema è per Internet Explorer su Windows XP, che non riceverà ulteriori update e, quindi, rimarrà vulnerabile fino alla fine dei tempi... se ancora serviva un incentivo per abbandonarlo, eccolo servito! Oppure usare un browser alternativo, sperando che qualche programma di terze parti non utilizzi il motore di Internet Explorer... no grazie!!
Ad ogni modo, segnalo (non mi sembra sia indicato nella news di IlSoftware citata, ma è una indicazione presente nel bollettino ufficiale) che l'attivazione della Modalità Protetta Avanzata disponibile su Windows 8.1 argina il problema, poiché, tra le altre cose, obbliga anche tutti i plug-in ad essere eseguiti all'interno della sand-box in modalità avanzata.
Per quanto riguarda il rilascio di un aggiornamento, la falla risulta, a detta di Microsoft, già attivamente utilizzata, quindi non è affatto da escludere il rilascio di un aggiornamento straordinario al di fuori del ciclo mensile (l'attivo utilizzo delle falle scoperte è spesso il discriminante tra "attendiamo il Patch Tuesday" o "aggiorniamo subito", per Microsoft). Sempre in riferimento a questo, non si tratta, da quanto si può intuire, di una falla particolarmente critica (rispetto ad altre precedenti): la gravità sta nel fatto che è già attivamente utilizzata per attacchi.
Sempre nel bollettino ufficiale, non si fa curiosamente riferimento al fatto che ci sia correlazione con Flash Player, e si indica la causa nel "classico" utilizzo di memoria dopo rilascio o prima di allocazione (tipico problema di programmazione in C/C++).
Ho già espresso il mio punto di vista in merito: se si considera l'ultima piattaforma disponibile (Windows 8.1), Internet Explorer utilizza una versione di Flash Player sviluppata da Microsoft e Adobe, che funziona dentro la sandbox avanzata, ed è presente un Lettore PDF integrato che utilizza la sandbox di AppContainer (la stessa utilizzata da Windows Phone 8.1 e dalle app di Windows Store). Per quanto riguarda Flash e PDF, l'approccio di default prevede quindi l'uso di software di Microsoft, e non di terze parti, che vengono aggiornati automaticamente tramite Windows Update/Windows Store, e sono protetti da una robusta sandbox, come avviene con Google Chrome.[Claudio] ha scritto:Non c'è nulla da fare, Microsoft ha lavorato tantissimo (e anche bene, va riconosciuto) sul suo browser, ma il "peccato originale" resta: fino a quando Internet Explorer, per alcune sue funzionalità, si appoggerà a software di terzi parti che sono un costante colabrodo, resterà sempre, indipendentemente dalle "sue" vulnerabilità, un browser a elevato rischio sicurezza per gli utenti che lo utilizzano.
è vero che con plug-in come Java e Silverlight si esce dalla cerchia protetta, ma questo accade anche con altri browser (incluso Chrome), quindi non vedo quali ragioni portino IE ad essere più vulnerabile di altri browser, sulla piattaforma Windows 8.1.
Se poi vogliamo considerare Windows 7, il discorso ovviamente cambia, ma parliamo di un software progettato nel 2009, che è tuttora ovviamente supportato, ma nel quale non è praticabile applicare profondi cambiamenti infrastrutturali (necessari per rendere la sicurezza di IE allo stesso livello di quanto presente su Windows 8.1) da parte di Microsoft con un "semplice" aggiornamento, per motivi di compatibilità con il software esistente, sia di prime che di terze parti.
developerwinme.wordpress.com
Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer
Da aggiungere (se serve) che, come già detto, la vulnerabilità in questione permette l'esecuzione di codice arbitrario sia se viene utilizzato Internet Explorer come browser, o anche utilizzato per visualizzare i contenuti HTML all'interno di altri programmi, Outlook compreso.
Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer
Nello specifico, la vulnerabilità non affligge Internet Explorer 8 (l'ultima versione disponibile su XP).Zane ha scritto:Il vero problema è per Internet Explorer su Windows XP, che non riceverà ulteriori update e, quindi, rimarrà vulnerabile fino alla fine dei tempi... se ancora serviva un incentivo per abbandonarlo, eccolo servito!
Informazione errata!
Ottima segnalazione. Avevo anch'io già appreso di questa mitigazione temporanea attraverso il bollettino ufficiale. Fortunatamente, tempo fa, ho provveduto ad abilitare preventivamente questa funzionalità insieme all'opzione Abilita processi a 64 bit per la modalità protetta avanzata.developerwinme ha scritto:Ad ogni modo, segnalo (non mi sembra sia indicato nella news di IlSoftware citata, ma è una indicazione presente nel bollettino ufficiale) che l'attivazione della Modalità Protetta Avanzata disponibile su Windows 8.1 argina il problema, poiché, tra le altre cose, obbliga anche tutti i plug-in ad essere eseguiti all'interno della sand-box in modalità avanzata.
Purtroppo Microsoft ha disabilitato automaticamente (il 12 Novembre 2013), mediante gli aggiornamenti di sistema di Windows 8.1, la modalità protetta avanzata di Internet Explorer 11 su Desktop (che di default era abilitata) per raccogliere feedback rispetto alle incompatibilità con componenti aggiuntivi di terze parti. Maggiori informazioni: QUI.
Maggiori informazioni tecniche sulla modalità protetta avanzata di Internet Explorer: QUI.
- developerwinme
- Livello: Workstation (10/15)
- Messaggi: 1319
- Iscritto il: mer mag 01, 2013 1:35 pm
- Località: Como
- Contatta:
Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer
Outlook 2007/2010/2013 utilizzano un motore diverso da Trident (quello di IE) per l'HTML, quindi non dovrebbero essere vulnerabili, ma sicuramente è una cosa da notare, sebbene, come evidenzia il bollettino ufficiale, programmi di terze parti talvolta applichino limitazioni aggiuntive quando usano il motore di IE (esempio, esecuzione in area "siti non attendibili"), che possono limitare l'impatto della falla.[Claudio] ha scritto:Da aggiungere (se serve) che, come già detto, la vulnerabilità in questione permette l'esecuzione di codice arbitrario sia se viene utilizzato Internet Explorer come browser, o anche utilizzato per visualizzare i contenuti HTML all'interno di altri programmi, Outlook compreso.
Nel bollettino ufficiale risulta tra le versione affette (Windows XP non è indicato come affetto semplicemente perché vengono indicate solo versioni di Windows supportate), da dove ricavi questa informazione?hashcat ha scritto:Nello specifico, la vulnerabilità non affligge Internet Explorer 8 (l'ultima versione disponibile su XP).
Ottime segnalazioni anche queste (le avevo già recepite qualche tempo fa, ma è utile da sapere per gli utenti del forum). Da segnalare che Modalità protetta avanzata e processi a 64 bit sono tuttora attivati di default (e non disattivabili) sulla versione Windows Store di Internet Explorer 10 e 11.hashcat ha scritto:Purtroppo Microsoft ha disabilitato automaticamente (il 12 Novembre 2013), mediante gli aggiornamenti di sistema di Windows 8.1, la modalità protetta avanzata di Internet Explorer 11 su Desktop (che di default era abilitata) per raccogliere feedback rispetto alle incompatibilità con componenti aggiuntivi di terze parti. Maggiori informazioni: QUI.Maggiori informazioni tecniche sulla modalità protetta avanzata di Internet Explorer: QUI.
Ad ogni modo, dal mio punto di vista, la falla sarà turata prima di poter diventare "un caso", quindi credo che, a parte lo "stare in guardia", il livello di effettivo rischio sia ragionevolmente sotto controllo.
developerwinme.wordpress.com
Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer
Mi sono appena accorto di aver detto una stupidaggine: andando a memoria rispetto all'articolo di FireEye ricordavo il dato che la vulnerabilità era stata utilizzata per attacchi mirati contro Internet Explorer 9, 10 e 11 dimenticandomi che tuttavia la falla colpisce tutte le versioni del browser.developerwinme ha scritto:Nel bollettino ufficiale risulta tra le versione affette (Windows XP non è indicato come affetto semplicemente perché vengono indicate solo versioni di Windows supportate), da dove ricavi questa informazione?
EDIT:
Qual è la versione Windows Store?developerwinme ha scritto:Da segnalare che Modalità protetta avanzata e processi a 64 bit sono tuttora attivati di default (e non disattivabili) sulla versione Windows Store di Internet Explorer 10 e 11.
Che tu sappia: la versione Modern UI di Internet Explorer 11 su Windows 8.1 abilita di default l'opzione "Abilita processi a 64 bit per la modalità protetta avanzata" ?
EDIT 2: Ho modificato il mio precedente messaggio per evitare di diffondere informazioni erronee.
-
- Livello: Disco fisso (9/15)
- Messaggi: 690
- Iscritto il: dom ott 27, 2013 2:57 pm
Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer
.. e visto che magopenguin è 'malpensante' ........ si è subito chiesto:Zane ha scritto: .. il problema è grave e non va sottovalutato.
Il vero problema è per Internet Explorer su Windows XP, che non riceverà ulteriori update e, quindi, rimarrà vulnerabile fino alla fine dei tempi... !
vuoi vedere che sta coincidenza è stata fatta proprio apposta?
insomma: se avete da Seven (..perchè Vista non se lo sono comprati appena uscito,figuriamoci adesso) in su, possiamo risolvere la falla (per la vostra sicurezza digitale,e non solo,visto che il tutto si potrebbe ripercuotere anche sul "non digitale" ,una volta avuto accesso a certi dati..) ,e altrimenti ci scusiamo per il disagio ma eravate stati avvisati.
......
- developerwinme
- Livello: Workstation (10/15)
- Messaggi: 1319
- Iscritto il: mer mag 01, 2013 1:35 pm
- Località: Como
- Contatta:
Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer
La versione Modern/Metro/a schermo intero/per tablet/"come decide di chiamarla Microsoft domani" ( ) di Internet Explorer. (La chiamo versione "Windows Store" perché le altre app che funzionano allo stesso modo hanno ora questa nomenclatura (prima si chiamavano "Metro", e tuttora talvolta vengono chiamate "Modern"), sebbene dal punto di vista tecnico 1) IE non si può scaricare dallo Store e 2) rientra in una categoria di applicazioni Windows Store piuttosto particolare, come Chrome e Firefox (che è ora stato abbandonato)).hashcat ha scritto:Qual è la versione Windows Store?
Si, se il sistema è a 64 bit:hashcat ha scritto:Che tu sappia: la versione Modern UI di Internet Explorer 11 su Windows 8.1 abilita di default l'opzione "Abilita processi a 64 bit per la modalità protetta avanzata" ?
Fonte: http://blogs.msdn.com/b/ieinternals/arc ... sktop.aspxOn Windows 8, Metro-style IE’s tabs in the Internet and Restricted Zone run in Enhanced Protected mode, while tabs in other zones run in 64bit only. You cannot disable EPM for Metro-style IE except by turning off Protected Mode entirely.
In pratica, se nelle impostazioni di Internet Explorer è attiva la modalità protetta "classica" (quella introdotta da Vista, per interderci), che di default è attiva per le sole zone "Internet" e "Siti con restrizioni" (e non per "Intranet" e "Siti attendibili"), IE Windows Store utilizzerà la modalità protetta avanzata con processi a 64 bit (se la macchina è a 64 bit), mentre IE desktop userà la modalità protetta classica o quella avanzata, eventualmente con processi a 64 bit, sulla base della relativa impostazione nel pannello delle impostazioni avanzate.
In conclusione, nella maggior parte dei casi, di default, IE Windows Store viene eseguito a 64 bit all'interno della modalità protetta (e con il solo Flash Player integrato in Windows come plug-in disponibile).
Spero di essere riuscito a rendere l'idea di quanto volevo dire. Se hai/avete altre domande, sono qui.
developerwinme.wordpress.com
Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer
Grazie ancora! Per quanto mi riguarda, tutto chiaro.developerwinme ha scritto:Spero di essere riuscito a rendere l'idea di quanto volevo dire. Se hai/avete altre domande, sono qui.
Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer
Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer
E' pronto l'aggiornamento di sicurezza per Internet Explorer, broswser di Microsoft minacciato da una falla potenzialmente molto pericolosa per la sicurezza dei sistemi.
E a sorpresa Redmond annuncia che l'update interesserà anche Windows XP, sistema operativo dismesso che non avrebbe dovuto ricevere più aggiornamenti dal mese scorso.
Ma che visto l'ancora altissimo numero di utenti nel mondo, non poteva evidentemente essere lasciato fuori.
L'aggiornamento è stato rilasciato alle 19 ora italiana del primo maggio.
Adrienne Hall del settore Microsoft Trustworthy Computing, ha dichiarato che l'azienda prende la sicurezza dei propri utenti "molto seriamente". Negli scorsi giorni l'amministrazione Usa aveva invitato gli utenti di Windows a "non utilizzare Internet Explorer".
La vulnerabilità interessava le versioni di Explorer dalla 6 alla 11.
Per aggiornare il sistema non sarà necessario ricercare l'update manualmente, ma arriverà sotto forma di aggiornamento automatico.
- developerwinme
- Livello: Workstation (10/15)
- Messaggi: 1319
- Iscritto il: mer mag 01, 2013 1:35 pm
- Località: Como
- Contatta:
Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer
Detto in parole povere: non gridiamo al miracolo, Microsoft non ha fatto un passo indietro, ci sono buone probabilità che questo sia veramente l'ultimo aggiornamento per Windows XP, e quindi la situazione rimane preoccupante per gli utenti di tale sistema.
Detto questo, visto il numero di computer con Windows XP che continueranno a ricevere aggiornamenti forti dei contratti di supporto stipulati da grosse aziende con Microsoft e che il supporto a Windows Server 2003, basato sullo stesso codice di base, continua, la società deve tenere su l'infrastruttura per aggiornare Windows XP/2003, quindi non è da escludersi che, nell'immediato futuro, altre vulnerabilità di alto profilo zero-day, se dovessero comparirne altre, possano ricevere una correzione anche su XP.
developerwinme.wordpress.com
Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer
- developerwinme
- Livello: Workstation (10/15)
- Messaggi: 1319
- Iscritto il: mer mag 01, 2013 1:35 pm
- Località: Como
- Contatta:
Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer
Dal mio punto di vista la cosa ha un suo senso, da' credibilità a Microsoft sulla questione sicurezza, e se combinata con una campagna di martellamento, ad ogni ciclo mensile di aggiornamenti, sull'assenza di correzioni per Windows XP per le falle segnalate, potrà portare qualche update in più da Windows xp a Windows 7-8.1, e comunque un po' di sensibilizzazione.
developerwinme.wordpress.com
Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer
Il tutto per che cosa? sono pronto a scommettere denaro contate che il prossimo patch thursday proporrà l'ennesimo aggiornamento per Internet Explorer, e che Windows XP sarà ancora presente "eccezionalmente". Poi, in giugno/luglio, nuova vulnerabilità scoperta ma utenti di Windows XP abbandonati a se stessi... e siamo punto e a capo. Qual è il vantaggio di aver rilasciato queste patch? aver concesso due mesi di supporto in più (sui quali nessuno contava)? a chi giova?
- developerwinme
- Livello: Workstation (10/15)
- Messaggi: 1319
- Iscritto il: mer mag 01, 2013 1:35 pm
- Località: Como
- Contatta:
Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer
developerwinme.wordpress.com
-
- Argomenti simili
- Risposte
- Visite
- Ultimo messaggio