Microsoft Internet Explorer per Francia e Germania pericoloso

Microsoft Internet Explorer per Francia e Germania pericoloso

In Francia e Germania le autorità diffondono una nota: non usate Internet Explorer. Alla base della vicenda c'è una vulnerabilità relativa a Internet Explorer versione 6 su sistema operativo Windows XP. Lo stesso problema di sicurezza starebbe alla base del contenzioso tra Google governo cinese

di pubblicato il nel canale Programmi
GoogleMicrosoftWindows
 

La parola all'accusato

Ora, in un contraddittorio è lecito dare la parola all'accusa - e lo abbiamo fatto indicando gli annunci fatti dalle autorità francesi e tedesche - ma anche alla difesa, e lo facciamo segnalandovi questo breve video diffuso poche ore fa da Microsoft Italia.

Internet Explorer - Feliciano Intini e Luca Colombo from MClips on Vimeo.

Il video per ovvie ragioni non scende troppo nel dettaglio ma da parte Microsoft vengono citate ulteriori fonti di approfondimento. Cerchiamo ora di capire meglio il problema relativo a Internet Explorer e alla vicenda nel suo complesso per poi valutare in maniera autonoma l'accaduto.

Dalle caratteristiche pubblicate per sfruttare la vulnerabilità di Internet Explorer 6 - Microsoft indica solo questa versione affetta dalla vulnerabilità in oggetto- gli utenti che hanno subito un attacco sono stati indotti a visitare una particolare pagina web appositamente creata. Nel caso specifico potrebbe essere stata usata una email, insomma Microsoft sottolinea la natura mirata degli attacchi ai singoli utenti e non all'infrastruttura di Google.

A ciò nella ricostruzione di Redmond viene fatto notare un dato di fatto non trascurabile: la vulnerabilità è sfruttabile su sistema operativo Microsoft Windows XP e con Internet Explorer versione 6. Microsoft sottolinea come entrambi i prodotti siano vetusti - vengono definiti paleolitici dal blog di Feliciano Intini - sottolineando come oggi sia disponibile Windows 7 e Internet Explorer 8. Per la versione del browser ci sentiamo di condividere la posizione di Microsoft mentre per quanto riguarda il sistema operativo è inutile sottolineare quanto Windows XP sia tutt'oggi diffuso, soprattutto in molte aziende. Per Microsoft pare non esserci alcun allarme straordinario, anzi i vari esponenti approfittano della situazione per sensibilizzare su un aspetto fondamentale per la sicurezza: l'aggiornamento del software e del sistema operativo.

Un dettaglio però non ci tornava e abbiamo voluto chiedere diretto riscontro a Feliciano Intini -chief security advisor di Microsoft Italia -. Nelle note delle autorità tedesche e francesi vengono indicati come potenzialmente vulnerabili anche Internet Explorer 7 e 8, mentre dalle informazioni diffuse da Microsoft il problema parrebbe limitato alla sola versione 6 in abbinamento a Windows XP. Inutile sottolineare che su molti altri articoli pubblicati non venga nemmeno indicata la versione di Internet Explorer. Questa omissione farebbe quindi supporre che tutti gli utenti abituati all'uso di tale software siano in pericolo.

Siamo quindi andati alla fonte rivolgendo il quesito all'esperto di Microsoft. La situazione più pericolosa si concretizza su PC dotati di sistemi operativi Microsoft Windows XP in abbinamento Internet Explorer versione 6. La stessa vulnerabilità è presente in Internet Explorer 7 e 8 ma con sistema operativo più recente preoccupa di meno se l'utente abilità la modalità IE Protected Mode e DEP. Al momento è nota l'esistenza di attacchi a sistemi dotati di Internet Explorer 6 e Windows XP e pare più complicato sfruttare le medesime vulnerabilità su sistemi più aggiornati. Detto ciò, e Microsoft stessa lo ammette, il problema va risolto e anche in fretta.

Nell'apertura di questo articolo abbiamo descritto una situazione molto seria e problematica, soprattutto in relazione alla diffusione di Internet Explorer e al potenziale bacino di utenti a rischio. Nell'analisi dei fatti il tutto risulta più limitato e circostanziato. Sia chiaro: la vulnerabilità in Internet Explorer 6 rimane e al momento è meno preoccupante nelle versioni 7 e 8, andrà risolta magari senza aspettare il prossimo patch day.

Stando alle attuali informazioni disponibili e in attesa di eventuali sviluppi,  la sitazione diviene pericolosa in un contesto nel quale l'utente o chi per esso non sia in grado di gestire correttamente il proprio sistema omettendo poche e semplici abitudini che ormai da anni descriviamo: software e sistema operativo aggiornato con le ultime patch in abbinamento a suite per la sicurezza completa (il solo antivirus potrebbe non bastare!), magari non sviluppata da Microsoft ma da terze parti in virtù di una maggiore possibilità di scelta.

In apertura abbiamo citato enti francesi e tedeschi e pare doveroso segnalare il punto di vista del CERT-SPC -unità di prevenzione e gestione degli incidenti informatici del Sistema Pubblico di Connettività - italiano che in una nota diffusa qui riporta:

In relazione alla vulnerabilità di tipo "zero-day" che interessa Internet Explorer già  osservata dal CERT-SPC dallo scorso 15 Gennaio ed illustrata nella sezione bollettini, si rappresenta che in ambito SPC al momento non sono stati segnalati incidenti riconducibili alla stessa.

Si evidenzia però il rischio associato alla possibilità di sfruttare tale vulnerabilità in associazione ad iniziative di spam, ai risultati proposti  dai motori di ricerca ed ai collegamenti presenti sui social network, inerenti eventi di particolare ed attuale interesse collettivo, quali il recente sisma  che ha devastato HAITI o all’attenzione mediatica sull’uscita del film AVATAR. Tali circostanze possono essere utilizzate dagli attaccanti per indurre gli utenti a visitare pagine web appositamente realizzate per inoculare malware o la sfruttare anche questa vulnerabilità in Explorer.
...Microsoft, infine, in una nota preventivamente anticipata al CERT-SPC ha indicato anche l'ipotesi di un aggiornamento di sicurezza di tipo "OUT OF BAND" ovvero straordinario rispetto al normale ciclo di rilascio del software correttivo appena avvenuto per il mese di Gennaio.

129 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
anac19 Gennaio 2010, 15:51 #1
cavolo tutta sta storia perche' la cina ha attaccato google ...........
Matalf19 Gennaio 2010, 16:03 #2
una sola parola


LOL






No a parte gli scherzi che explorer sia meno sicuro questo era acclamato, ma semplicemente perché è il Brosware più diffuso sul pianeta e come tale e sempre sotto attacco.
marco XP2400+19 Gennaio 2010, 16:05 #3
Originariamente inviato da: anac
cavolo tutta sta storia perche' la cina ha attaccato google ...........


forse c'è qualcosa che mi sfugge ma in quale modo riesci a vedere la cosa in maniera banale considerando che la cina è una superpotenza economica e militare e google è ormai il motore di ricerca per eccellenza che offre inoltre svariati servizi legati con la propria attività e la propria privacy??

comunque per me il problema non è un singolo utente per cui l'aggiornamento è cosa fattibile, ma quelle reti di computer che funzionano ancora con ie6 per la compatibilità
un esempio: access point internet all'università che funzionano tutti con una versione di win server con ie6

per la questione sicurezza:
onestamente penso si dovrebbe prima discutere dei sistemi di segnalazione dei bug oppure delle vulnerabilità, poichè al variare di questi sistemi cambiando i browser è ovvio che si possono ottenere risultati non confrontabili oppure che avvantaggino un browser rispetto ad altro
atomo3719 Gennaio 2010, 16:10 #4
matalf a parte quello, stiamo parlando di explorer 6 e siamo alla 8.
chiunque prenda un pc per utilizzarlo su internet e non lo aggiorna per anni cosa si deve aspettare? E stiamo parlando per giunta di software disponibile in forma gratuita!
Vorrei vedere quanto è sicuro un pc con una versione di firefox di due anni fa mai aggiornata.
Spec1alFx19 Gennaio 2010, 16:14 #5
Vedo che la redazione ha già "fatto informazione", ovvero ha già spiegato adeguatamente quanto le redazioni della stampa generalista non è stata in grado di cogliere.

Colgo invece io l'occasione per sottolineare come le notizie date dai media tradizionali, per quei casi in cui si hanno le competenze o le conoscenze per verificarne l'attendibilità, siano in una percentuale prossima al 100% immondizia. Da quel poco che ci è dato vedere superficialità, incapacità, mancanza di professionalità sono purtroppo una regola largamente diffusa; pensate voi ora quanto c'è da fidarsi quando parlano di notizie di cui non si ha conoscenza diretta. O, ancora peggio, ciò che viene taciuto, o posto in secondo piano.

Al di là di questa riflessione vorrei dare due spunti relativi all'articolo:
1) sicuramente Windows XP ha ancora la sua penetrazione dal punto di vista aziendale, ma, statistiche alla mano, anche Internet Explorer 6. Questo tuttavia non impedisce di definire entrambi i prodotti "paleolitici": sicuramente lo sono, così come è legittimo che ci sia chi ancora li mantenga a suo rischio e pericolo. Se ho un'attività di autotrasporti e per risparmiare non cambio i mezzi ma vado avanti con quelli vecchi, posso benissimo farlo, a mio rischio e pericolo. L'unico problema è non puntare il dito sull'IVECO (e in particolar modo sull'ultimo loro modello di camion, quando tu ne hai uno vecchio di 15 anni) se uno di questi si rompe.
2) quelli provenienti dalla Cina sono stati attacchi mirati e altamente sofisticati. Mi trovo in grande dissenso con l'idea che un browser alternativo possa da questo punto di vista rappresentare una maggiore sicurezza per l'utente, anzi. Contro gli attacchi mirati onestamente non c'è molto da fare, a meno di non avere attorno una struttura tale che tenga monitorata e intervenga attivamente di fronte a questo tipo di minacce. Impiegare un browser alternativo è consigliabile per l'utente comune, in quanto il malware nella sua grande parte è studiato per il browser più diffuso (per l'appunto IE); anche se la situazione non è così drammatica come la dipingono nel momento in cui si ha un valido antivirus alle spalle (e si evita di cliccare a vacca ovunque, ma si legge i messaggi di avvertimento che ti vengono dati). Ma di fronte ad un attacco mirato non conta cosa stai usando: comunque una falla non pubblica stai tranquillo che c'è. Anzi, mi permetto di dire che se stai usando l'ultima versione di Firefox poco ma sicuro che ce ne sono di più di quante non ce ne siano con l'ultima versione di IE8, e stai tranquillo che sono più sfruttabili di quest'ultimo (che integra diverse tecniche che rendono difficili sfruttarle). Insomma, la logica degli attacchi mirati è completamente diversa dal malware comune. Reputo pertanto che il governo tedesco abbia dato dimostrazione, così come i governi europei in genere che tendono a pagare lo scotto di un'età media un po' troppo alta, di ignoranza, di mancanza di cultura a riguardo. Il consiglio di aggiornare XP e IE (e qui poi ci stava tutta anche l'indicazione che esistono OS e browser alternativi) sarebbe stato molto più saggio.
zanardi8419 Gennaio 2010, 16:18 #6
Mi pare che ci siamo: win xp e IE6, cioè un sistema operativo di ormai quasi 10 anni fa (che significava praticamente usare win 98 nel 2007) e di un browser che da sempre gode della triste fama di colabrodo nonchè prodotto assai limitato.
Ci vuole tanto per passare almeno alla versione 7 o alla 8? Quì anche M$ ci ha messo del suo. L'interfaccia a dire il vero non è il massimo. Firefox a mio avviso è il punto di riferimento con tutti i suoi bottoni in bella evidenza, i comodi segnailbri nella barra, la cronologia richiamabile in un attimo, la barra di ricerca.
IE7-8 e Chrome sono molto simili, confusionari (Chrome proprio non lo tollero).
IE6 per quanto riguardava l'impostazione dell'interfaccia era decisamente meglio nonostante gli evidentissimi limiti delle funzionalità.
marco XP2400+19 Gennaio 2010, 16:19 #7
@ specialfx nel quotidiano ho trovato molto più utile di un antivirus una sandboxie, tu la usi??
Knighhell19 Gennaio 2010, 16:19 #8
Sono piu pericolose queste dichiarazioni che altro.

Se un utente utilizza IE6 magari con Os craccato e non patchat, vecchio di anni, alla fien si da la colpa sempre a Microosft.

Ricordiamo che le versioni successive di Ie sono gratis e gli update di sicureza anche. Non si parla di aquisto o di spese aggiuntive.
Ma no la colpa e di microsoft .

dwfgerw19 Gennaio 2010, 16:26 #9
Questi (francia germania) stanno avanti anche per quel che concerne l'utilizzo di unix/linux nella pubblica amministrazione altro che microsoft. Solo che microsoft da tanto ma tanto lavoro alle assistenze.
Yrrah19 Gennaio 2010, 16:28 #10
Intanto alla fine se avete letto fino infondo anche MS ha ammesso che la vulnerabilità non c'è solo su IE6 e XP ma anche con IE7 e IE8 e altri OS, seppur in maniera più lieve. E' ovvio che se si devono fare comunicazioni di massa non possono tirarla troppo sul sottile spiegando le varie impostazioni di sicurezza e dicono semplicemente di usare un browser alternativo che non è sicuramente affetto.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^