[Sicurezza] Brutta falla di sicurezza in Internet Explorer

Se Windows genera un errore, hai un problema di virus o vuoi discutere/segnalare l'uscita della nuova versione di un software per la piattaforma Microsoft, questa è la sezione giusta.
Regole del forum
Rispondi
gianpietro

[Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da gianpietro »

Nuova falla seria in Internet Explorer, vedi qui:

http://www.ilsoftware.it/articoli.asp?t ... ioni_10912
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da System » lun apr 28, 2014 10:42 am


Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5466
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da Zane »

Per le versioni moderne di Windows mi aspetto la patch a brevissimo, quindi il problema è grave e non va sottovalutato, ma nulla con un impatto sul lungo periodo.

Il vero problema è per Internet Explorer su Windows XP, che non riceverà ulteriori update e, quindi, rimarrà vulnerabile fino alla fine dei tempi... se ancora serviva un incentivo per abbandonarlo, eccolo servito! Oppure usare un browser alternativo, sperando che qualche programma di terze parti non utilizzi il motore di Internet Explorer... no grazie!!
Zane - TurboLab.it
[Claudio]

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da [Claudio] »

Non c'è nulla da fare, Microsoft ha lavorato tantissimo (e anche bene, va riconosciuto) sul suo browser, ma il "peccato originale" resta: fino a quando Internet Explorer, per alcune sue funzionalità, si appoggerà a software di terzi parti che sono un costante colabrodo, resterà sempre, indipendentemente dalle "sue" vulnerabilità, un browser a elevato rischio sicurezza per gli utenti che lo utilizzano.
Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da developerwinme »

Zane ha scritto:Per le versioni moderne di Windows mi aspetto la patch a brevissimo, quindi il problema è grave e non va sottovalutato, ma nulla con un impatto sul lungo periodo.

Il vero problema è per Internet Explorer su Windows XP, che non riceverà ulteriori update e, quindi, rimarrà vulnerabile fino alla fine dei tempi... se ancora serviva un incentivo per abbandonarlo, eccolo servito! Oppure usare un browser alternativo, sperando che qualche programma di terze parti non utilizzi il motore di Internet Explorer... no grazie!!
Condivido questa preoccupazione al 100%: questo sarà il primo problema critico degli utenti di Windows XP, speriamo che i danni siano limitati.

Ad ogni modo, segnalo (non mi sembra sia indicato nella news di IlSoftware citata, ma è una indicazione presente nel bollettino ufficiale) che l'attivazione della Modalità Protetta Avanzata disponibile su Windows 8.1 argina il problema, poiché, tra le altre cose, obbliga anche tutti i plug-in ad essere eseguiti all'interno della sand-box in modalità avanzata.

Per quanto riguarda il rilascio di un aggiornamento, la falla risulta, a detta di Microsoft, già attivamente utilizzata, quindi non è affatto da escludere il rilascio di un aggiornamento straordinario al di fuori del ciclo mensile (l'attivo utilizzo delle falle scoperte è spesso il discriminante tra "attendiamo il Patch Tuesday" o "aggiorniamo subito", per Microsoft). Sempre in riferimento a questo, non si tratta, da quanto si può intuire, di una falla particolarmente critica (rispetto ad altre precedenti): la gravità sta nel fatto che è già attivamente utilizzata per attacchi.

Sempre nel bollettino ufficiale, non si fa curiosamente riferimento al fatto che ci sia correlazione con Flash Player, e si indica la causa nel "classico" utilizzo di memoria dopo rilascio o prima di allocazione (tipico problema di programmazione in C/C++).
[Claudio] ha scritto:Non c'è nulla da fare, Microsoft ha lavorato tantissimo (e anche bene, va riconosciuto) sul suo browser, ma il "peccato originale" resta: fino a quando Internet Explorer, per alcune sue funzionalità, si appoggerà a software di terzi parti che sono un costante colabrodo, resterà sempre, indipendentemente dalle "sue" vulnerabilità, un browser a elevato rischio sicurezza per gli utenti che lo utilizzano.
Ho già espresso il mio punto di vista in merito: se si considera l'ultima piattaforma disponibile (Windows 8.1), Internet Explorer utilizza una versione di Flash Player sviluppata da Microsoft e Adobe, che funziona dentro la sandbox avanzata, ed è presente un Lettore PDF integrato che utilizza la sandbox di AppContainer (la stessa utilizzata da Windows Phone 8.1 e dalle app di Windows Store). Per quanto riguarda Flash e PDF, l'approccio di default prevede quindi l'uso di software di Microsoft, e non di terze parti, che vengono aggiornati automaticamente tramite Windows Update/Windows Store, e sono protetti da una robusta sandbox, come avviene con Google Chrome.
è vero che con plug-in come Java e Silverlight si esce dalla cerchia protetta, ma questo accade anche con altri browser (incluso Chrome), quindi non vedo quali ragioni portino IE ad essere più vulnerabile di altri browser, sulla piattaforma Windows 8.1.
Se poi vogliamo considerare Windows 7, il discorso ovviamente cambia, ma parliamo di un software progettato nel 2009, che è tuttora ovviamente supportato, ma nel quale non è praticabile applicare profondi cambiamenti infrastrutturali (necessari per rendere la sicurezza di IE allo stesso livello di quanto presente su Windows 8.1) da parte di Microsoft con un "semplice" aggiornamento, per motivi di compatibilità con il software esistente, sia di prime che di terze parti. :)
Marco Adriani
developerwinme.wordpress.com
[Claudio]

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da [Claudio] »

Certamente Dev, la mia osservazione era riferita a S.O. precedenti a Windows 8 (che, effettivamente, forse perché non lo uso, considero sempre poco).

Da aggiungere (se serve) che, come già detto, la vulnerabilità in questione permette l'esecuzione di codice arbitrario sia se viene utilizzato Internet Explorer come browser, o anche utilizzato per visualizzare i contenuti HTML all'interno di altri programmi, Outlook compreso.
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da hashcat »

Zane ha scritto:Il vero problema è per Internet Explorer su Windows XP, che non riceverà ulteriori update e, quindi, rimarrà vulnerabile fino alla fine dei tempi... se ancora serviva un incentivo per abbandonarlo, eccolo servito!
Nello specifico, la vulnerabilità non affligge Internet Explorer 8 (l'ultima versione disponibile su XP).
Informazione errata!

:fiu
developerwinme ha scritto:Ad ogni modo, segnalo (non mi sembra sia indicato nella news di IlSoftware citata, ma è una indicazione presente nel bollettino ufficiale) che l'attivazione della Modalità Protetta Avanzata disponibile su Windows 8.1 argina il problema, poiché, tra le altre cose, obbliga anche tutti i plug-in ad essere eseguiti all'interno della sand-box in modalità avanzata.
Ottima segnalazione. Avevo anch'io già appreso di questa mitigazione temporanea attraverso il bollettino ufficiale. Fortunatamente, tempo fa, ho provveduto ad abilitare preventivamente questa funzionalità insieme all'opzione Abilita processi a 64 bit per la modalità protetta avanzata.

Purtroppo Microsoft ha disabilitato automaticamente (il 12 Novembre 2013), mediante gli aggiornamenti di sistema di Windows 8.1, la modalità protetta avanzata di Internet Explorer 11 su Desktop (che di default era abilitata) per raccogliere feedback rispetto alle incompatibilità con componenti aggiuntivi di terze parti. Maggiori informazioni: QUI.

Maggiori informazioni tecniche sulla modalità protetta avanzata di Internet Explorer: QUI.

:)
“The quieter you become, the more you can hear”
Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da developerwinme »

[Claudio] ha scritto:Da aggiungere (se serve) che, come già detto, la vulnerabilità in questione permette l'esecuzione di codice arbitrario sia se viene utilizzato Internet Explorer come browser, o anche utilizzato per visualizzare i contenuti HTML all'interno di altri programmi, Outlook compreso.
Outlook 2007/2010/2013 utilizzano un motore diverso da Trident (quello di IE) per l'HTML, quindi non dovrebbero essere vulnerabili, ma sicuramente è una cosa da notare, sebbene, come evidenzia il bollettino ufficiale, programmi di terze parti talvolta applichino limitazioni aggiuntive quando usano il motore di IE (esempio, esecuzione in area "siti non attendibili"), che possono limitare l'impatto della falla.
hashcat ha scritto:Nello specifico, la vulnerabilità non affligge Internet Explorer 8 (l'ultima versione disponibile su XP).
Nel bollettino ufficiale risulta tra le versione affette (Windows XP non è indicato come affetto semplicemente perché vengono indicate solo versioni di Windows supportate), da dove ricavi questa informazione?
hashcat ha scritto:Purtroppo Microsoft ha disabilitato automaticamente (il 12 Novembre 2013), mediante gli aggiornamenti di sistema di Windows 8.1, la modalità protetta avanzata di Internet Explorer 11 su Desktop (che di default era abilitata) per raccogliere feedback rispetto alle incompatibilità con componenti aggiuntivi di terze parti. Maggiori informazioni: QUI.Maggiori informazioni tecniche sulla modalità protetta avanzata di Internet Explorer: QUI.
Ottime segnalazioni anche queste (le avevo già recepite qualche tempo fa, ma è utile da sapere per gli utenti del forum). Da segnalare che Modalità protetta avanzata e processi a 64 bit sono tuttora attivati di default (e non disattivabili) sulla versione Windows Store di Internet Explorer 10 e 11.

Ad ogni modo, dal mio punto di vista, la falla sarà turata prima di poter diventare "un caso", quindi credo che, a parte lo "stare in guardia", il livello di effettivo rischio sia ragionevolmente sotto controllo.
Marco Adriani
developerwinme.wordpress.com
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da hashcat »

developerwinme ha scritto:Nel bollettino ufficiale risulta tra le versione affette (Windows XP non è indicato come affetto semplicemente perché vengono indicate solo versioni di Windows supportate), da dove ricavi questa informazione?
Mi sono appena accorto di aver detto una stupidaggine: andando a memoria rispetto all'articolo di FireEye ricordavo il dato che la vulnerabilità era stata utilizzata per attacchi mirati contro Internet Explorer 9, 10 e 11 dimenticandomi che tuttavia la falla colpisce tutte le versioni del browser.
:bam

EDIT:
developerwinme ha scritto:Da segnalare che Modalità protetta avanzata e processi a 64 bit sono tuttora attivati di default (e non disattivabili) sulla versione Windows Store di Internet Explorer 10 e 11.
Qual è la versione Windows Store?
Che tu sappia: la versione Modern UI di Internet Explorer 11 su Windows 8.1 abilita di default l'opzione "Abilita processi a 64 bit per la modalità protetta avanzata" ?

EDIT 2: Ho modificato il mio precedente messaggio per evitare di diffondere informazioni erronee.
“The quieter you become, the more you can hear”
magopenguin
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 690
Iscritto il: dom ott 27, 2013 2:57 pm

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da magopenguin »

Zane ha scritto: .. il problema è grave e non va sottovalutato.

Il vero problema è per Internet Explorer su Windows XP, che non riceverà ulteriori update e, quindi, rimarrà vulnerabile fino alla fine dei tempi... !
.. e visto che magopenguin è 'malpensante' ........ si è subito chiesto:

vuoi vedere che sta coincidenza è stata fatta proprio apposta?

insomma: se avete da Seven (..perchè Vista non se lo sono comprati appena uscito,figuriamoci adesso) in su, possiamo risolvere la falla (per la vostra sicurezza digitale,e non solo,visto che il tutto si potrebbe ripercuotere anche sul "non digitale" ,una volta avuto accesso a certi dati..) ,e altrimenti ci scusiamo per il disagio ma eravate stati avvisati.


...... :ninja
Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da developerwinme »

hashcat ha scritto:Qual è la versione Windows Store?
La versione Modern/Metro/a schermo intero/per tablet/"come decide di chiamarla Microsoft domani" ( :D ) di Internet Explorer. (La chiamo versione "Windows Store" perché le altre app che funzionano allo stesso modo hanno ora questa nomenclatura (prima si chiamavano "Metro", e tuttora talvolta vengono chiamate "Modern"), sebbene dal punto di vista tecnico 1) IE non si può scaricare dallo Store e 2) rientra in una categoria di applicazioni Windows Store piuttosto particolare, come Chrome e Firefox (che è ora stato abbandonato)).
hashcat ha scritto:Che tu sappia: la versione Modern UI di Internet Explorer 11 su Windows 8.1 abilita di default l'opzione "Abilita processi a 64 bit per la modalità protetta avanzata" ?
Si, se il sistema è a 64 bit:
On Windows 8, Metro-style IE’s tabs in the Internet and Restricted Zone run in Enhanced Protected mode, while tabs in other zones run in 64bit only. You cannot disable EPM for Metro-style IE except by turning off Protected Mode entirely.
Fonte: http://blogs.msdn.com/b/ieinternals/arc ... sktop.aspx

In pratica, se nelle impostazioni di Internet Explorer è attiva la modalità protetta "classica" (quella introdotta da Vista, per interderci), che di default è attiva per le sole zone "Internet" e "Siti con restrizioni" (e non per "Intranet" e "Siti attendibili"), IE Windows Store utilizzerà la modalità protetta avanzata con processi a 64 bit (se la macchina è a 64 bit), mentre IE desktop userà la modalità protetta classica o quella avanzata, eventualmente con processi a 64 bit, sulla base della relativa impostazione nel pannello delle impostazioni avanzate.
In conclusione, nella maggior parte dei casi, di default, IE Windows Store viene eseguito a 64 bit all'interno della modalità protetta (e con il solo Flash Player integrato in Windows come plug-in disponibile).

Spero di essere riuscito a rendere l'idea di quanto volevo dire. :) Se hai/avete altre domande, sono qui.
Marco Adriani
developerwinme.wordpress.com
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da hashcat »

developerwinme ha scritto:Spero di essere riuscito a rendere l'idea di quanto volevo dire. :) Se hai/avete altre domande, sono qui.
Grazie ancora! Per quanto mi riguarda, tutto chiaro.

:approvo
“The quieter you become, the more you can hear”
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5466
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da Zane »

Aggiornamento speciale pronto. Disponibile su Windows Update entro sera :clap
Zane - TurboLab.it
[Claudio]

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da [Claudio] »

E' pronto l'aggiornamento di sicurezza per Internet Explorer, broswser di Microsoft minacciato da una falla potenzialmente molto pericolosa per la sicurezza dei sistemi.
E a sorpresa Redmond annuncia che l'update interesserà anche Windows XP, sistema operativo dismesso che non avrebbe dovuto ricevere più aggiornamenti dal mese scorso.
Ma che visto l'ancora altissimo numero di utenti nel mondo, non poteva evidentemente essere lasciato fuori.
L'aggiornamento è stato rilasciato alle 19 ora italiana del primo maggio.
Adrienne Hall del settore Microsoft Trustworthy Computing, ha dichiarato che l'azienda prende la sicurezza dei propri utenti "molto seriamente". Negli scorsi giorni l'amministrazione Usa aveva invitato gli utenti di Windows a "non utilizzare Internet Explorer".
La vulnerabilità interessava le versioni di Explorer dalla 6 alla 11.
Per aggiornare il sistema non sarà necessario ricercare l'update manualmente, ma arriverà sotto forma di aggiornamento automatico.
[Claudio]

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da [Claudio] »

Et voilà .... 19.35 e già disponibile:

Immagine
Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da developerwinme »

Interessante precedente riguardo la disponibilità dell'aggiornamento anche per Windows XP: http://www.zdnet.com/microsoft-had-to-p ... 000029008/

Detto in parole povere: non gridiamo al miracolo, Microsoft non ha fatto un passo indietro, ci sono buone probabilità che questo sia veramente l'ultimo aggiornamento per Windows XP, e quindi la situazione rimane preoccupante per gli utenti di tale sistema.
Detto questo, visto il numero di computer con Windows XP che continueranno a ricevere aggiornamenti forti dei contratti di supporto stipulati da grosse aziende con Microsoft e che il supporto a Windows Server 2003, basato sullo stesso codice di base, continua, la società deve tenere su l'infrastruttura per aggiornare Windows XP/2003, quindi non è da escludersi che, nell'immediato futuro, altre vulnerabilità di alto profilo zero-day, se dovessero comparirne altre, possano ricevere una correzione anche su XP.
Marco Adriani
developerwinme.wordpress.com
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5466
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da Zane »

Che sia stato aggiornato anche Windows XP è un errore nella comunicazione non indifferente: fino ad ora hanno strepitato di abbandonare Windows XP perché non più supportato e alla prima falla critica arriva un update? poca chiarezza! a mio avviso avrebbero dovuto evitarlo.
Zane - TurboLab.it
Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da developerwinme »

Capisco il tuo punto di vista ma, alla luce del fatto che il correttivo andava sviluppato comunque (per i motivi di cui sopra), non distribuirlo avrebbe generato una bufera mediatica (ricordo i sospetti di chi ci ha visto una manovra opportunamente pilotata da Microsoft nell'uscita di questa falla) e che al prossimo patch tuesday xp non riceverà aggiornamenti nemmeno per le problematiche critiche, non credo che cambi molto a livello di punto di vista del "mondo dell'utenza" riguardo a Windows XP, mentre invece i critici non potranno aggrapparsi alla solita "scusa" che si sintetizza con il solito "Micro$oft attaccata ai soldi". ;)

Dal mio punto di vista la cosa ha un suo senso, da' credibilità a Microsoft sulla questione sicurezza, e se combinata con una campagna di martellamento, ad ogni ciclo mensile di aggiornamenti, sull'assenza di correzioni per Windows XP per le falle segnalate, potrà portare qualche update in più da Windows xp a Windows 7-8.1, e comunque un po' di sensibilizzazione.
Marco Adriani
developerwinme.wordpress.com
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 5466
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da Zane »

Il problema è che questo comportamento mina la credibilità dei tecnici che hanno spinto i propri clienti ad aggiornare e degli amministratori di sistema che hanno saggiamente allocato il budget per migrare il proprio installato: mi aspetto una marea di clienti/capetti amministrativi che, dopo questa bella patch straordinaria, se ne escano con esternazioni tipo hai visto che infondo non era necessario spendere tutti quei soldi?.

Il tutto per che cosa? sono pronto a scommettere denaro contate che il prossimo patch thursday proporrà l'ennesimo aggiornamento per Internet Explorer, e che Windows XP sarà ancora presente "eccezionalmente". Poi, in giugno/luglio, nuova vulnerabilità scoperta ma utenti di Windows XP abbandonati a se stessi... e siamo punto e a capo. Qual è il vantaggio di aver rilasciato queste patch? aver concesso due mesi di supporto in più (sui quali nessuno contava)? a chi giova?
Zane - TurboLab.it
Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da developerwinme »

Ho capito il tuo punto di vista, ma la mia idea è che questo aggiornamento non cambia praticamente nulla della questione, su tutti i fronti (inclusi quelli che citi come problematici), quindi non mi porrei proprio il problema dell'errore di comunicazione, perché verrà assorbito dalla reale fine degli aggiornamenti nel giro di qualche settimana: si tratta per lo più di una mossa di marketing (a basso costo a livello di investimento in sviluppo e testing) che "salva" nell'immediato la società dall'attacco mediatico legato a "Windows XP abbandonato appena 15 giorni dopo la fine del supporto, nonostante l'uscita di una falla critica e già sfruttata per attacchi mirati".
Marco Adriani
developerwinme.wordpress.com
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: [Sicurezza] Brutta falla di sicurezza in Internet Explorer

Messaggio da System » ven mag 02, 2014 4:30 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio