Puntuale rispetto al preavviso, stasera Microsoft ha rilasciato il
bollettino straordinario "MS08-078 - Security Update for Internet Explorer (960714)".
L'analisi di rischio è presto fatta (anche perché la maggior parte dei
dettagli
importanti è stata anticipata in occasione dell'advisory e del preavviso):
si tratta di una vulnerabilità di tipo Remote
Code Execution che interessa tutte le versioni attualmente supportate di
Internet Explorer e che permetterebbe di far eseguire del codice non
autorizzato
nel contesto di sicurezza dell'utente loggato utilizzando pagine
web
opportunamente modificate come vettore di attacco.
Le modalità di
rilevamento e distribuzione non prevedono eccezioni rispetto alla norma
delle
patch di Windows/IE: gli utenti finali che hanno gli aggiornamenti
automatici
nella loro impostazione predefinita (cioé sono abilitati) si
ritroveranno questa
patch installata in modo automatico; le aziende potranno
utilizzare tutti i loro
consueti strumenti di aggiornamento. Non sono note
problematiche di
compatibilità applicativa.
Chi mi segue mensilmente nella lettura di queste descrizioni di dettaglio,
ormai noiosissime :-), avrà appunto notato che non c'è nulla di nuovo, nulla
di
eclatante. Quali sono quindi le novità? Quali gli elementi dello scenario
di
rischio che sono mutati alla luce di questo evento? Grazie al
significativo
interesse di questa problematica da parte dei media online, ho
avuto la
possibilità di commentare e fare diverse riflessioni al riguardo:
mi perdonerete
se, invece di ripetermi, vi invito a consultarle direttamente
sugli articoli che
sono scaturiti da queste brevi interviste, approfittando
dell'occasione per
ringraziare giornalisti e redazioni della disponibilità
ad accogliere le mie
considerazioni:Su due aspetti, già velocemente toccati in queste interviste, mi preme
ritornare per rimarcarli e sottoporli alla vostra riflessione:
non credo che
questo episodio sia la dimostrazione della supremazia di altri browser rispetto
ad IE rispetto agli aspetti di sicurezza. Assodato che tutti i browser
alternativi soffrono di altrettante, se non numericamente maggiori vulnerabilità, questi attacchi diretti
solo verso IE e sferrati subito dopo l'emissione ordinaria dei bollettini
Microsoft sono la palese conferma della predilezione, da parte dei criminali
informatici, della piattaforma e della modalità che può portare alla
compromissione del maggior numero possibile di sistemi con il minor sforzo.
L'uso di un browser alternativo espone quindi ad analoghi rischi, per certi
versi più subdoli perché non eclatanti, non sbandierati. L'utente non deve
illudersi che le altre piattaforme siano immuni da questi problemi: potrebbero
non essere prese di mira dai malintenzionati, per ora, perché non conveniente,
ma anche questo non lo si può affermare per certo, e di sicuro non sulla base di
quanti articoli urlano la presenza di attacchi in circolazione. In quest'ottica,
pur con una considerazione sfacciatamente di parte :-), mi sento di ribadire il
primato di Microsoft rispetto agli altri vendor alla luce di tutto lo sforzo di
contenimento delle vulnerabilità (leggi SDL) e dei processi di incredibile reattività in caso di
emergenze come questa, che personalmente ritengo essere le migliori garanzie
sulla tutela della sicurezza dei clienti.
Ribadita l'assoluta "normalità"
della tipologia di questa vulnerabilità, come mai si è giunti ad uno scenario di
rischio con un numero significativo di siti web infetti, tale da far diventare
urgentissima una patch che altrimenti sarebbe stata ordinaria? Risposta: la
mancata responsible disclosure, e la latitanza della sicurezza a
livello applicativo web. Perché si punta il dito solo sulla vulnerabilità lato
client, ora corretta, e non si opera alcuna riflessione sulla piaga della
miriade di siti web e applicazioni web configurati in modo assolutamente
insicuro? (e questi senza riguardo per la piattaforma utilizzata, il problema
delle vulnerabilità che espongono ad attacchi di SQL Injection è trasversale:
anzi, c'è chi vanta una indiscussa maggiore quota di mercato sui web server, e
di certo non è Microsoft IIS e le sue applicazioni...). Perché non si inizia a
prendere sul serio il tema della revisione di tutto il codice applicativo,
ognuno per la propria responsabilità, non solo di quello Microsoft?
Tratto dal blog di Feliciano Intini
Un'interessante video che spiega il problema
Microsoft rilascia patch Internet Explorer from MClips on Vimeo.
Nessun commento:
Posta un commento