Microsoft: per la falla di Internet Explorer un aggiornamento straordinario

[Jabberwock]

Quote:

Originariamente inviato da Garz

no, nessuno parla di risolvere bug prima che vengano scoperti, ma prima che circolino exploit, che è una cosa un attimino diversa..

Chi ha diffuso le informazioni, con PoC allegato, poteva anche verificare l'avvenuta correzione della falla prima, invece che scusarsi dopo dicendo "ma io pensavo l'avessero corretta"!

Quote:

diciamo che ms non ha la politica di aggiornamento ottimale, ed è per questo che viene criticata. (aggiornamenti mensili.. forse quando andavi in internet una volta al mese.. anche gli antivirus hanno piu aggiornamenti giornalieri ormai!!)

Io gia' mi immagino la scena: strali contro Microsoft perche' rilascia le patch troppo spesso, perche' si deve riavviare, la prova provata che Windows e' una porcheria, ecc. ecc. ecc.!

[diabolik1981]

un po di notizie in più

http://www.repubblica.it/2008/11/sez...lla-toppa.html

[Petervangraft]

Quote:

Originariamente inviato da diabolik1981

un po di notizie in più

http://www.repubblica.it/2008/11/sez...lla-toppa.html

colpiti 10.000 siti

la prima da cosa da mettere al sicuro non e' il browser ma i siti web che fanno schifo e si fanno iniettare codice malevolo
mi chiedo a chi sono dati in mano come manutenzione i siti Web

[diabolik1981]

Quote:

Originariamente inviato da Petervangraft

colpiti 10.000 siti

la prima da cosa da mettere al sicuro non e' il browser ma i siti web che fanno schifo e si fanno iniettare codice malevolo
mi chiedo a chi sono dati in mano come manutenzione i siti Web

è quello che ho pensato pure io...ma non erano tutti i server della rete che giravano su Linux e figli?

[Petervangraft]

Quote:

Originariamente inviato da diabolik1981

è quello che ho pensato pure io...ma non erano tutti i server della rete che giravano su Linux e figli?

Probabilmente qualcuno ora ti scrivera' che i siti che hanno ceduto a questo contagio e si sono fatti iniettare codice malevolo non sono quelli Linux

[!fazz]

Quote:

Originariamente inviato da diabolik1981

è quello che ho pensato pure io...ma non erano tutti i server della rete che giravano su Linux e figli?

un server linux può comunque veicolare infezioni per windows, tralasciando la stoccatina non esiste un server sicuro tutti prima o poi possono essere violati, è solo una questione di impegno e di tempo.

un server linux configurato in maniera decente ha una buona sicurezza ma principalmente bisognerebbe far capire a chi crea il sito che admin non è una buona password per mysql

trascurando poi il problema del social engeneering

[diabolik1981]

Quote:

Originariamente inviato da !fazz

un server linux può comunque veicolare infezioni per windows, tralasciando la stoccatina non esiste un server sicuro tutti prima o poi possono essere violati, è solo una questione di impegno e di tempo.

io lo so, tu lo sai, il problema sono i fanatici che si leggono qui sul forum che parlano di sicurezza parlando male di prodotto o dell'altro senza sapere che alla fine hanno gli stessi problemi.

C'è però da dire che 10000 siti in 2 giorni vuol dire che di impegno per violare sti server ne serve davvero poco.

Quote:

Originariamente inviato da !fazz

htmlun server linux configurato in maniera decente ha una buona sicurezza ma principalmente bisognerebbe far capire a chi crea il sito che admin non è una buona password per mysql

trascurando poi il problema del social engeneering

concordo al 100%

[CaFFeiNe]

come sempre, significa che 10000 amministratori di server potevano anche impegnarsi di piu' indipendentemente dal sistema operativo

[!fazz]

Quote:

Originariamente inviato da diabolik1981

io lo so, tu lo sai, il problema sono i fanatici che si leggono qui sul forum che parlano di sicurezza parlando male di prodotto o dell'altro senza sapere che alla fine hanno gli stessi problemi.

C'è però da dire che 10000 siti in 2 giorni vuol dire che di impegno per violare sti server ne serve davvero poco.



concordo al 100%

penso che abbiano impiegato + di due giorni, ho paura che la falla sia già conosciuta da un bel pò di giorni nei circuiti underground e sia affiorata solo un paio di giorni fà.

riguardo alla sicurezza, una volta una ditta mi ha chiesto di effettuare un controllo sulla robustezza delle pwd usate dai dipendenti per l'accesso al mainframe dell'azienda (circa 2000 utenti).

con un semplice attacco dizionario al login con un programmino fatto ad hoc i risultati erano stati sconvolgenti: 88% delle pwd trovate e di queste il 70% è stata trovata nei primi 200 tentativi (la top era occupata da "pippo" con 280 utenti che la usavano)

adesso questa ditta usa pwd generate casualmente con scadenza quindicinale e i dipendenti sono abbastanza scocciati

[MiKeLezZ]

Quote:

Originariamente inviato da ciarls

ahahhahaha!!!! Ovviamente nelle news riguardanti apple la situazione sarebbe stata letta in un altro modo, vero diabolik? tipo "con quel che costa, OSX è pieno di bug". Mi fate morire... siete assolutamente incoerenti e poi dite pure di essere oggettivi!! Fai pure i complimenti? Forse non hai letto che TUTTE le versioni di explorer hanno questo bug? vuol dire che sono anni che questo problema c'è e si risolve solo adesso! E' questo quello che intendi per tempismo? Poi ovviamente se OSX ha un problema alla calcolatrice (penso sia l'applicazione meno utilizzata in osx dopo l'antivirus) allora quelli della apple sono dei cani... qui si parla di sicurezza della macchina eppure riesci a fare i compliementi alla MS... pensaci un attimo su valà

Memoria corta?

BSD UNIX finally fixes a 25-year old software bug

http://www.theinquirer.net/inquirer/...ally-fixes-old

He found this bug in all other versions of BSD and BSD derivatives -- such as Mac OS/X -- that he checked.

[diabolik1981]

Quote:

Originariamente inviato da MiKeLezZ

Memoria corta?

BSD UNIX finally fixes a 25-year old software bug

http://www.theinquirer.net/inquirer/...ally-fixes-old

He found this bug in all other versions of BSD and BSD derivatives -- such as Mac OS/X -- that he checked.

no, semplicemente clone di qualche utente sospeso/bannato.

[Human_Sorrow]

Vista x64 - IE7: Aggiornato!

[totalblackuot75]

ma c'è ancora chi usa IE?

[tomix]

io lo uso e mi trovo benissimo...ciao e divertiti invece di chiedere chi usa cosa...

[malestorm]

Quote:

Originariamente inviato da tomix

io lo uso e mi trovo benissimo...ciao e divertiti invece di chiedere chi usa cosa...

infatti

[gnàpossofà]

Scusate ma una cosa del genere bypassa tranquillamente firewall, antivirus, e similari??? Esiste un modo per capire se si è stati oggetto di particoalri "attenzioni" in proposito??

[diabolik1981]

Quote:

Originariamente inviato da gnàpossofà

Scusate ma una cosa del genere bypassa tranquillamente firewall, antivirus, e similari??? Esiste un modo per capire se si è stati oggetto di particoalri "attenzioni" in proposito??

se hai un antivirus attivo non hai problemi (sempre che sia aggiornato). Sotto Vista con UAC attivo ti segnala qualcosa che non va con la solita schermata. Sotto Vista x64 che ha il DEP attivo per IE il problema non si verifica.

[Gigi Web]

Quote:

Originariamente inviato da ccirim

io uso firefox (... e me ne fo**o di ste mega falle exploriane!!!!).
lo consiglio a tutti i miei amici e obbligo i miei parenti a usarlo!!!!

ps: se mi chiamate fanFoxboy non mi offendo!!!
ps2: non essendo a senso unico sto valutando anhe chrome...

Prima di fare sparate da fanboy, vai a leggerti questo:

http://news.swzone.it/swznews-23218.php

Anche FF & company hanno problemi di sicurezza . Informarsi prima di parlare sarebbe una buona abitudine , e non lo dico da utente IE, xchè non lo uso, faccio la spola tra FF e Opera, a seconda di come mi gira, IE lo uso solo qualche volta , mentre Chrome non mi sta' granchè simpatico Ho provato anche Safari e Maxthon2 (che usa il motore di IE) non male, però preferisco sempre FF e Opera.
L'importante è che le falle vengano corrette e in fretta soprattutto, quindi mi pare che in questo caso tutti abbiano fatto bene il loro dovere.
Byezzzzz

[rutton]

patch installata automaticamente da WU stamattina su Vista SP1. Non ha richiesto il riavvio.

[worldsailor]

Quote:

Originariamente inviato da coschizza

quindi i bug di sicurezza si devono risolvere prima che si scoprano.......interessante ma mi spiegheresti come si fa?.

Mai sentito parlare di test funzionali, prestazionali e di sicurezza?