Falle di IE, Symantec rivede i conti

Nel suo ultimo rapporto sulla sicurezza, Symantec ha calcolato le falle di Internet Explorer e di Firefox con un metodo che fa tesoro dei suggerimenti della comunità open source

Roma - Nel suo ultimo Internet Security Threat Report Symantec ha rivisto la modalità con cui conteggia le vulnerabilità di Internet Explorer e di Firefox, modalità che lo scorso anno l'avevano portata ad affermare che il browser di Microsoft è più sicuro della controparte open source.

Oliver Friedrichs, senior manager del Security Response Group di Symantec, ha ammesso che nel suo precedente rapporto semestrale le vulnerabilità critiche di IE e Firefox era state comparate in modo incorretto. In precedenza, infatti, la celebre società di sicurezza contava solo i bug confermati dai vendor dei due browser: il risultato, riferito alla seconda metà del 2005, era che il numero di falle convalidate dal big di Redmond era inferiore a quello delle falle convalidate da Mozilla Foundation.

Secondo i sostenitori del browser open source, il calcolo generava risultati tra loro non confrontabili: il modello di sviluppo open source, definito dai suoi estimatori "del tutto trasparente", porterebbe infatti alla scoperta, verifica e correzione di un maggior numero di problemi in tempi più brevi. In altre parole, la stima di Symantec premierebbe il vendor che impiega di più a correggere i problemi anziché quello che vi impiega di meno.
Riconoscendo la validità di queste critiche, nel suo nuovo rapporto Symantec ha fornito due differenti metri di comparazione: quello basato sulle sole vulnerabilità confermate dal produttore e quello basato sulla somma delle vulnerabilità confermate e non confermate: tra queste ultime compaiono tutte quelle che sono state rese pubbliche da hacker ed esperti di sicurezza ma che non sono state necessariamente ufficializzate. Stando a quest'ultimo computo, negli ultimi sei mesi dello scorso anno IE avrebbe totalizzato 24 falle (di cui 12 confermate da Microsoft) contro le 17 di Firefox (di cui 13 confermate da Mozilla Foundation). Nella prima metà del 2005 il rapporto tra le falle confermate di IE e le falle confermate di Firefox era di 14 contro 27.

Nel proprio rapporto Symantech ha anche pubblicato alcune stime sul tempo che mediamente trascorre prima che un computer non patchato, una volta collegato ad Internet, venga compromesso da malware o cracker. La società afferma che un sistema con Windows XP Professional è rimasto inviolato solo per un'ora, Windows 2000 per un'ora e 17 minuti e Windows Server 2003 per un tempo lievemente più lungo. Al contrario, i sistemi operativi Red Hat Enterprise Linux 3 e SuSE Linux 9 Desktop non sono mai stati compromessi durante il mese e mezzo di test. Per ottenere lo stesso risultato con Windows, gli esperti di Symantec hanno dovuto applicare tutte le patch di sicurezza rilasciate fino a quel momento da Microsoft.
TAG: sicurezza
88 Commenti alla Notizia Falle di IE, Symantec rivede i conti
Ordina
  • Symantec si è accorta che andando a chiedere all'oste se il vino è buono, non sempre quest'ultimo dice la verità...
    non+autenticato
  • Se avete letto bene l'articolo alla fine c'è scritto:
    "Per ottenere lo stesso risultato con Windows, gli esperti di Symantec hanno dovuto applicare tutte le patch di sicurezza rilasciate fino a quel momento da Microsoft".

    Che razza di test può essere quello in cui linux e windows vengono attaccati nella condizione di assenza di patch? Il confronto va fatto con tutte le patch applicate.
    non+autenticato

  • - Scritto da: Anonimo
    > Se avete letto bene l'articolo alla fine c'è
    > scritto:
    > "Per ottenere lo stesso risultato con Windows,
    > gli esperti di Symantec hanno dovuto applicare
    > tutte le patch di sicurezza rilasciate fino a
    > quel momento da Microsoft".
    >
    > Che razza di test può essere quello in cui linux
    > e windows vengono attaccati nella condizione di
    > assenza di patch? Il confronto va fatto con tutte
    > le patch applicate.

    Leggi bene !

    Anno fatto uno storico dei problemi che ADESSO sono corretti dalla Microsoft.
    Capisci ?
    Tra un anno faranno la storia dei problemi di adesso che verranno corretti in un anno.

    Ciao
    mda
    783

  • - Scritto da: mda
    > Anno fatto uno storico dei problemi che ADESSO
    > sono corretti dalla Microsoft.
    > Capisci ?

    tu non hai capito invece che il test lo hanno fatto senza applicare le patch che già erano disponibili.
    non+autenticato


  • - Scritto da: Anonimo
    > Se avete letto bene l'articolo alla fine c'è
    > scritto:
    > "Per ottenere lo stesso risultato con Windows,
    > gli esperti di Symantec hanno dovuto applicare
    > tutte le patch di sicurezza rilasciate fino a
    > quel momento da Microsoft".
    >
    > Che razza di test può essere quello in cui linux
    > e windows vengono attaccati nella condizione di
    > assenza di patch? Il confronto va fatto con tutte
    > le patch applicate.

    Gia', ma mettiti nei panni dell'utonto che si e' appena installato windows dal CD, quindi in modalita' NON PATCHATA.
    Dopodiche' deve collegarsi alla rete per scaricarsi le patches...
    E nel frattempo che si scarica le patches, si ritrova suo malgrado installati virus, trojans e merdaccia varia.
    Che naturalmente resta anche dopo la patch, e che ripartira' automaticamente ad ogni riavvio del sistema coi privilegi di administrator...
    non+autenticato
  • Se avete letto bene l'articolo alla fine c'è scritto:
    "Per ottenere lo stesso risultato con Windows, gli esperti di Symantec hanno dovuto applicare tutte le patch di sicurezza rilasciate fino a quel momento da Microsoft".

    Che razza di test può essere quello in linux e windows vengono attaccati nella condizione di assenza di patch? Il confronto va fatto con tutte le patch applicate.
    non+autenticato

  • - Scritto da: Anonimo
    > Se avete letto bene l'articolo alla fine c'è
    > scritto:
    > "Per ottenere lo stesso risultato con Windows,
    > gli esperti di Symantec hanno dovuto applicare
    > tutte le patch di sicurezza rilasciate fino a
    > quel momento da Microsoft".
    >
    > Che razza di test può essere quello in linux e
    > windows vengono attaccati nella condizione di
    > assenza di patch? Il confronto va fatto con tutte
    > le patch applicate.

    Risposto prima leggi il post precedente !
    mda
    783
  • Dal sito Secunia.com:

    Internet Explorer 6 (http://secunia.com/product/11/)

    "Microsoft Internet Explorer 6.x with all vendor patches installed and all vendor workarounds applied, is currently affected by one or more Secunia advisories rated Highly critical.
    [...]
    Currently, 23 out of 93 Secunia advisories, are marked as "Unpatched" in the Secunia database".

    Firefox 1.x (http://secunia.com/product/4227/)

    "Mozilla Firefox 1.x with all vendor patches installed and all vendor workarounds applied, is currently affected by one or more Secunia advisories rated Less critical"
    [...]
    Currently, 2 out of 27 Secunia advisories, are marked as "Unpatched" in the Secunia database.


    Credo non esistano software esenti da bug (o vulnerabilità), i programmatori sono pur sempre degli esseri umani e quindi "imperfetti".
    Il problema non è nemmeno la quantità di vulnerabilità scoperte (comunque elevate: ben 93 per explorer!); alcune vulnerabilità sono note da anni e risultano non corrette o corrette solo in parte.

    Ma i programmatori di Explorer non si pongono problemi... Certo, rimuovere bug significa ore di lavoro per il controllo del codice e test di controllo sulla patch (non è la prima volta che una patch corregge un problema, ma ne introduce un altro). La vulnerabilità verrà risolta (forse) se ci saranno virus o malware in grado di sfruttare tale vulnerabilità, magari resa pubblica da mesi e con relativo codice di exploit. Insomma, quando è già tardi. Una storia già sentita...

    Un'ultima cosa: uso sia Explorer (poco) che Firefox.
    Explorer 6 (tralasciando la versione 7 in versione beta) per essere "sicuro" richiede l'installazione di una decina di patch alcune delle quali del peso, per una sola patch, anche di 3 MB!
    L'installazione di Firefox pesa (per pc) 4.9 Mb!
    Per chi è costretto ancora ad usare un modem 56k direi che è un pregio non da poco...
    non+autenticato
  • guarda bene la gravità di quelle 23 falle in IE, e ti accorgerai che sono stupidaggini.
    non+autenticato
  • - Scritto da: Anonimo
    > guarda bene la gravità di quelle 23 falle in IE,
    > e ti accorgerai che sono stupidaggini.

    leggi bene il messaggio che hai postato e ti accorgerai che sono stupidaggini

    A bocca aperta A bocca aperta
    non+autenticato
  • > guarda bene la gravità di quelle 23 falle in IE,
    > e ti accorgerai che sono stupidaggini.

    Non mi sembra! Alcune sono classificate come critiche... anche risalenti al 2003!
    Espressioni del tipo: "execute arbitrary code" non sono molto rassicuranti!

    Ad ogni modo non è un buon motivo per evitare di correggere delle vulnerabilità (e 23 sono tante!), che possono diventare ancora più pericolose una volta che vengono pubblicati gli exploit.
    non+autenticato

  • - Scritto da: Anonimo
    > Non mi sembra! Alcune sono classificate come
    > critiche... anche risalenti al 2003!
    > Espressioni del tipo: "execute arbitrary code"
    > non sono molto rassicuranti!

    se leggi bene, riguarda un controllo activex .ocx che non è presente in windows e non più supportato. Sarebbe come se una libreria dll vecchia e buggata fosse considerata tale per l'eternità quando non è più usata da nessuno; per di più quell'ocx non fa parte di windows.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Non mi sembra! Alcune sono classificate come
    > > critiche... anche risalenti al 2003!
    > > Espressioni del tipo: "execute arbitrary code"
    > > non sono molto rassicuranti!
    >
    > se leggi bene, riguarda un controllo activex .ocx
    > che non è presente in windows e non più
    > supportato. Sarebbe come se una libreria dll
    > vecchia e buggata fosse considerata tale per
    > l'eternità quando non è più usata da nessuno; per
    > di più quell'ocx non fa parte di windows.

    Non ne sono sicuro. Mi pare di aver capito che è un componente di Visual Studio firmato Microsoft che può essere installato di nascosto attraverso Internet Explorer. Tra l'altro riguarda gli ActiveX, spesso sfruttati per essere veicoli per l'installazione di dialer a insaputa dell'utente, ActiveX che per fortuna verranno ridimensionati con Internet Explorer 7.

    Comunque non voglio polemizzare sulle singole vulnerabilità (ce ne sarebbero altre: "compromise a user's system", "conduct phishing attacks").

    Il fatto su cui volevo riflettere è sulla quantità di vulnerabilità e sulla rapidità con cui vengono rilasciati gli aggiornamenti. Sulla pericolosità si può anche discutere, resto dell'opinione che una falla considerata moderatamente critica qualche anno fa potrebbe diventare più seria oggi. La sicurezza di un software può offrire è molto importante e non deve essere trascurata, soprattutto se gli utenti che usano tale software sono milioni.
    Finora i dati danno ragione a Firefox, aspetto una risposta della Microsoft con Explorer 7 (per XP, e gli altri S.O. precedenti?)

    Saluti

    non+autenticato

  • - Scritto da: Anonimo
    > Non ne sono sicuro. Mi pare di aver capito che è
    > un componente di Visual Studio firmato Microsoft
    > che può essere installato di nascosto attraverso
    > Internet Explorer.
    > Tra l'altro riguarda gli
    > ActiveX, spesso sfruttati per essere veicoli per
    > l'installazione di dialer a insaputa dell'utente,
    > ActiveX che per fortuna verranno ridimensionati
    > con Internet Explorer 7.

    - E' di una vecchia versione di visual basic
    - Quel componente activex deve prima passare la protezione di IE6 che ti chiede se lo vuoi installare. Con IE6 SP2 a meno che non sei superutonto non può installarsi, perchè ti compare un mega avvertimento.
    - Occorre inoltre un programma exe installato sul computer locale dell'utente che sia in grado di utilizzare quell'activex, altrimenti anche se l'activex è buggato, non può essere utilizzato
    - Se anche microsoft rilasciasse una versione aggiornata di quell'activex, la versione buggata rimarrebbe
    non+autenticato

  • - Scritto da: Anonimo
    > Il fatto su cui volevo riflettere è sulla
    > quantità di vulnerabilità e sulla rapidità con
    > cui vengono rilasciati gli aggiornamenti.

    Le nuove build di firefox escono con cadenza superiore a 1 o 2 mesi. E ogni volta nelle release notes sono segnalate tante falle di sicurezza corrette. Quindi il tempo di rilascio di una patch da parte di Mozilla non è poi così diverso dalle patch mensili di sicurezza fornite da Microsoft.
    non+autenticato

  • - Scritto da: Anonimo
    > Explorer 6 (tralasciando la versione 7 in
    > versione beta) per essere "sicuro" richiede
    > l'installazione di una decina di patch alcune
    > delle quali del peso, per una sola patch, anche
    > di 3 MB!
    > L'installazione di Firefox pesa (per pc) 4.9 Mb!
    > Per chi è costretto ancora ad usare un modem 56k
    > direi che è un pregio non da poco...

    le patch per IE le devi mettere comunque, perchè con IE vengono aggiornate anche le librerie di sistema che gestiscono l'html in Windows.
    non+autenticato

  • > le patch per IE le devi mettere comunque, perchè
    > con IE vengono aggiornate anche le librerie di
    > sistema che gestiscono l'html in Windows.

    Vero. Purtroppo Internet Explorer è integrato con il sistema operativo (con relativi problemi di sicurezza).
    E se io volessi disinstallare Internet Explorer perchè non lo uso e per evitare le relative vulnerabilità? é quasi impossibile!
    non+autenticato

  • - Scritto da: Anonimo
    > Vero. Purtroppo Internet Explorer è integrato con
    > il sistema operativo (con relativi problemi di
    > sicurezza).
    > E se io volessi disinstallare Internet Explorer
    > perchè non lo uso e per evitare le relative
    > vulnerabilità? é quasi impossibile!

    Perchè non è la stessa cosa sul MacOS e su Linux? Il browser web di Mac e i vari pannelli di controllo del Mac usano le stesse librerie per visualizzare i link e le pagine html. La stessa cosa in linux con kde e gnome. Senza quelli, non vedi html, non hai i pannelli di controllo realizzati con pagine html, ecc.
    non+autenticato
  • Strano che dopo la news di BUG-untu nessuno si fa vivo su quell'articolo, e si sono rifugiati tutti qui a trollare contro ms, billgheits, il sistema...

    Linaro linaro=new Linaro();
    linaro.setCodaDiPaglia(true);
    linaro.setTrollingMode("on");
    non+autenticato
  • - Scritto da: Anonimo
    > Strano che dopo la news di BUG-untu nessuno si fa
    > vivo su quell'articolo, e si sono rifugiati tutti
    > qui a trollare contro ms, billgheits, il
    > sistema...

    > Linaro linaro=new Linaro();
    > linaro.setCodaDiPaglia(true);
    > linaro.setTrollingMode("on");

    A me sembrano i soliti troll che attaccano tutto e tutti, ma probabilmente tu lo sai meglio di me.
    non+autenticato

  • - Scritto da: Anonimo
    > Strano che dopo la news di BUG-untu nessuno si fa
    > vivo su quell'articolo, e si sono rifugiati tutti
    > qui a trollare contro ms, billgheits, il
    > sistema...
    >
    > Linaro linaro=new Linaro();
    > linaro.setCodaDiPaglia(true);
    > linaro.setTrollingMode("on");

    Mi dispiace deluderti. Anche sulla news di Ubuntu ci sono reazioni. In ogni caso la news non è una notizia negativa, anzi, è la prova che un bug di gravità rilevante viene corretto in tempi che la nostra cara M$ se li sogna...
    non+autenticato

  • - Scritto da: Anonimo
    > Strano che dopo la news di BUG-untu nessuno si fa
    > vivo su quell'articolo, e si sono rifugiati tutti
    > qui a trollare contro ms, billgheits, il
    > sistema...
    >
    > Linaro linaro=new Linaro();
    > linaro.setCodaDiPaglia(true);
    > linaro.setTrollingMode("on");
    La differenza è che, mentre i bugs di linux vengono corretti subito, qui uno dei lecchini dello zio bill è costretto ad ammettere che il software microzozz fa cagare....
    Ormai a credere nella superiorità M$ siete rimasti in tre: Zio Bill, Scimmiapuzzona e tu.
    non+autenticato
  • Intanto Linux (dai e dai) non è più inviolabile, perfetto, magico e alla via così! Fra un po' (cioè quando tutto diventerà più complesso e intercorrelato e "appetibile" dalla concorrenza) si allungheranno anche i tempi del rilascio di patch e correzioni... e finalmente affiorerà la realtà (al di là di insulti, tecnicismi, sbruffonate e cazzeggi vari): non esiste nessun sistema "superiore" ad un altro, dipende dal tempo, dalle intenzioni, dalle motivazioni (anche economiche) che vengono impiegati per attaccare un sistema. E adesso dagli con gli insulti al solito "utonto" che non capisce nulla, sciorinate le vostre "competenze" per dimostrare ciò che volete: il tempo è sempre un galantuomo, aspetteremo sulla sponda del fiume...
    non+autenticato
  • > il tempo è sempre un galantuomo,
    > aspetteremo sulla sponda del fiume...

    E aspetta, aspetta.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)