Luca Annunziata

Microsoft cura IE col Patch Tuesday

Arginate le falle del browser di Redmond già sfruttate dai malintenzionati. In totale 26 i bug sistemati nella tornata di ottobre

Roma - Praticamente ogni versione di Internet Explorer dalla 6 alla 11 compresa (con qualche eccezione per le ultimissime build di IE11): è questo il resoconto del bollettino che illustra le patch applicate al browser nella versione di ottobre del Patch Tuesday, una tradizione di Microsoft per rilasciare in un colpo solo tutti gli aggiornamenti di sicurezza elaborati mensilmente per i propri software. In totale sono 26 i problemi a cui BigM fa fronte in questo caso, ma senz'altro IE era il prodotto che attendeva con maggiore trepidazione una cura per le due falle zero-day in circolazione e attivamente sfruttate. Gli altri software interessati comprendono Office, Sharepoint, Silverlight, dotNET e Windows stesso.

Qualche critica è stata espressa a Microsoft per aver atteso il ciclo di aggiornamento mensile per rilasciare una patch: qualcuno avrebbe preferito un aggiornamento straordinario per fare fronte al rischio corso da tutti gli utenti, sebbene in realtà il numero di attacchi sia stato fino a questo punto piuttosto ristretto e quasi tutti mirati a specifici obiettivi. Ma IE non è stato il solo componente del sistema a venire patchato: anche sette vulnerabilità nell'utilizzo dei driver a livello kernel e qualche altri bug potenzialmente sfruttabile per scrivere worm capaci di infettare i sistemi operativi con il logo della finestra. In ogni caso, massima celerità è raccomandata nell'applicare le patch di ottobre vista la natura dei bug di IE.

Il patch tuesday di ottobre è anche quello in cui ricade il decimo anniversario dell'iniziativa: il primo venne celebrato a ottobre del 2003, e di fatto questa iniziativa ha cambiato la pratica di rilascio degli aggiornamenti di sicurezza influenzando anche altre aziende (Adobe per esempio si è "sincronizzata" con le patch di Microsoft e ne ha appena rilasciata una per Reader e Acrobat). Per festeggiare, si fa per dire, Microsoft ha anche annunciato che pagherà una taglia da 100mila dollari (oltre il massimo previsto) allo scopritore di un exploit che avrebbe potuto rendere vani i tentativi di neutralizzazione messi in atto da BigM nelle più recenti versioni del sistema operativo con apposite tecnologie (eg: ASLR, DEP ecc).
Il fortunato destinatario dell'assegno a sei cifre è Thomas Garnier, che per altro lavora proprio per Microsoft. Ma ci sono altre taglie pagate per altri 28mila dollari ad altri ricercatori esperti in sicurezza, che hanno segnalato altre problematiche nel software di Redmond.

Tornando a Internet Explorer, le indagini su chi abbia sfruttato la falla zero-day svelata a settembre vanno avanti, ma Microsoft non rinuncia a elogiare le qualità di IE11 in uscita con Windows 8.1 questo mese. Secondo BigM la nuova release sarà più veloce, più potente e con molte funzionalità da far invidia alla concorrenza: nulla si dice della sicurezza, ma per quella ci sono i patch tuesday.

Luca Annunziata
Notizie collegate
  • BusinessWindows 8 e IE6, in calo a settembreA sorpresa, il nuovo OS di Redmond rallenta la crescita, mentre il vecchio 7 sale di qualche punto. La sesta versione di IE crolla al di sotto del 5 per cento, superato ampiamente da Firefox
40 Commenti alla Notizia Microsoft cura IE col Patch Tuesday
Ordina
  • Ma un dipendente MS non prende già lo stipendio?
    E' come se mi dessero un premio per aver sistemato un bug di un mio programma.
    Mah... mi suona tanto da marketing.
  • - Scritto da: saverio_ve
    > Ma un dipendente MS non prende già lo stipendio?

    Certo che si, e belli alti pure.

    > E' come se mi dessero un premio per aver
    > sistemato un bug di un mio
    > programma.
    > Mah... mi suona tanto da marketing.

    Che cos'hai capito?
    I dipendenti M$ sono avvocati o markettari.
    Nessuno di loro sa correggere un bug (li chiamano ficiurs!)

    Per correggere i bug hanno bisogno di consulenti esterni.
  • Cose si fa coi cavalli azzoppati?
    Canna in fronte, colpo a bruciapelo, morte immediata, nessuna sofferenza. E lo stesso andrebbe fatto con IE: formattazioine dei repository dei sorgenti, bruciatura dei nastri di backup e requiescat in pace.
    non+autenticato
  • ...in redazione avete un modello precomplato per il "patch tuesday". Cambiate qualche numerino e qualche nome qua e là, e l'articolo è bello e pronto. Sorride
  • - Scritto da: Skywalkersenior
    > ...in redazione avete un modello precomplato per
    > il "patch tuesday". Cambiate qualche numerino e
    > qualche nome qua e là, e l'articolo è bello e
    > pronto.
    > Sorride

    Ma va... Hanno gia' pronti tutti gli articoli sul patch tuesday fino al dicembre 2014.

    Tanto e' sempre quello: "Corretta la falla critica 0day scoperta l'altro giorno e gia' utilizzata da tutte le botnet russe. Tappati qualche altro migliaio di buchi minori (minori per winsozz, quindi parliamo di crateri lunari). Inserita un'altra backdoor a beneficio di NSA."
  • - Scritto da: panda rossa
    > - Scritto da: Skywalkersenior
    > > ...in redazione avete un modello precomplato
    > per
    > > il "patch tuesday". Cambiate qualche
    > numerino
    > e
    > > qualche nome qua e là, e l'articolo è bello e
    > > pronto.
    > > Sorride
    >
    > Ma va... Hanno gia' pronti tutti gli articoli sul
    > patch tuesday fino al dicembre
    > 2014.
    >
    > Tanto e' sempre quello: "Corretta la falla
    > critica 0day scoperta l'altro giorno e gia'
    > utilizzata da tutte le botnet russe. Tappati
    > qualche altro migliaio di buchi minori (minori
    > per winsozz, quindi parliamo di crateri lunari).
    > Inserita un'altra backdoor a beneficio di
    > NSA."

    Ma le distro linux sono totalmente immuni da qualsiasi malware? Lo chiedo non per trollare ma perchè sono un newbie. Se hai qualche link serio in merito (non opinioni) lo puoi postare? Grazie.
    non+autenticato
  • - Scritto da: futuro linaro
    > - Scritto da: panda rossa
    > > - Scritto da: Skywalkersenior
    > > > ...in redazione avete un modello
    > precomplato
    > > per
    > > > il "patch tuesday". Cambiate qualche
    > > numerino
    > > e
    > > > qualche nome qua e là, e l'articolo è
    > bello
    > e
    > > > pronto.
    > > > Sorride
    > >
    > > Ma va... Hanno gia' pronti tutti gli articoli
    > sul
    > > patch tuesday fino al dicembre
    > > 2014.
    > >
    > > Tanto e' sempre quello: "Corretta la falla
    > > critica 0day scoperta l'altro giorno e gia'
    > > utilizzata da tutte le botnet russe. Tappati
    > > qualche altro migliaio di buchi minori (minori
    > > per winsozz, quindi parliamo di crateri lunari).
    > > Inserita un'altra backdoor a beneficio di
    > > NSA."
    >
    > Ma le distro linux sono totalmente immuni da
    > qualsiasi malware? Lo chiedo non per trollare ma
    > perchè sono un newbie. Se hai qualche link serio
    > in merito (non opinioni) lo puoi postare?
    > Grazie.

    Il software per linux non lo si scarica dal web, dove ci sono fonti non certificate, ma dai repository dove il software viene pacchettizzato a partire dai sorgenti.

    Questo impedisce il 99.999999999% delle porcherie che normalmente infettano winsozz, tipo il classico belen_nuda.exe

    Il link serio e' http://www.linux.org/
  • - Scritto da: panda rossa
    > - Scritto da: futuro linaro

    > Il software per linux non lo si scarica dal web,
    > dove ci sono fonti non certificate, ma dai
    > repository dove il software viene pacchettizzato
    > a partire dai
    > sorgenti.
    >
    > Questo impedisce il 99.999999999% delle porcherie
    > che normalmente infettano winsozz, tipo il
    > classico
    > belen_nuda.exe
    >

    Si ma il tipo ti ha pure chiesto: "Ma le distro linux sono totalmente immuni da qualsiasi malware?"...   Indiavolato

    Rispondigli se riesci...
    non+autenticato
  • - Scritto da: ciccio
    > - Scritto da: panda rossa
    > > - Scritto da: futuro linaro
    >
    > > Il software per linux non lo si scarica dal web,
    > > dove ci sono fonti non certificate, ma dai
    > > repository dove il software viene pacchettizzato
    > > a partire dai
    > > sorgenti.
    > >
    > > Questo impedisce il 99.999999999% delle
    > porcherie
    > > che normalmente infettano winsozz, tipo il
    > > classico
    > > belen_nuda.exe
    > >
    >
    > Si ma il tipo ti ha pure chiesto: "Ma le distro
    > linux sono totalmente immuni da qualsiasi
    > malware?"...   
    >Indiavolato
    >
    > Rispondigli se riesci...

    non serve ne' un genio ne' panda rossa a rispondere ad una domanda del genere. *Qualunque* software e' prono ad errori di programmazione in quanto scritto da essere fallibili. Il software a "sorgenti consultabili" contiene statisticamente meno difetti, ma non significa che non ne abbia.
    Quindi no, "le distro linux non sono totalmente immuni da qualsiasi malware." Contento?
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: ciccio
    > > - Scritto da: panda rossa
    > > > - Scritto da: futuro linaro
    > >
    > > > Il software per linux non lo si scarica dal
    > web,
    > > > dove ci sono fonti non certificate, ma dai
    > > > repository dove il software viene
    > pacchettizzato
    > > > a partire dai
    > > > sorgenti.
    > > >
    > > > Questo impedisce il 99.999999999% delle
    > > porcherie
    > > > che normalmente infettano winsozz, tipo il
    > > > classico
    > > > belen_nuda.exe
    > > >
    > >
    > > Si ma il tipo ti ha pure chiesto: "Ma le distro
    > > linux sono totalmente immuni da qualsiasi
    > > malware?"...   
    > >Indiavolato
    > >
    > > Rispondigli se riesci...
    >
    > non serve ne' un genio ne' panda rossa a
    > rispondere ad una domanda del genere. *Qualunque*
    > software e' prono ad errori di programmazione in
    > quanto scritto da essere fallibili. Il software a
    > "sorgenti consultabili" contiene statisticamente
    > meno difetti, ma non significa che non ne
    > abbia.
    > Quindi no, "le distro linux non sono totalmente
    > immuni da qualsiasi malware."
    > Contento?

    è una contraddizione in termini: dal momento che i sorgenti sono SEMPRE, COMUNQUE E DOVUNQUE disponibili, ogni minima imprecisazione di programmazione viene segnalata e tempestivamente risolta in tempi record.

    inoltre un "difetto nel codice" non voluto (come lo chiami tu) NON significa che sia un malware ..come lo specifichi tu

    ps. passa a linux, se non ne hai mai avuto l'occasione, per iniziare a capire un po' meglio

    ed abbandona quella morchia di winzoz, che ti ha instillato l'incubo del malware: lo vedi pure nel tostapane del mattino
    -----------------------------------------------------------
    Modificato dall' autore il 10 ottobre 2013 08.18
    -----------------------------------------------------------
  • Il commento di "..." era PERFETTO.
    In 3 righe ha spiegato quello che tu non capirai nemmeno tra 10 anni.
    http://www.pcworld.com/article/2043661/darkleech-m...
    non+autenticato
  • - Scritto da: patetic detector
    > Il commento di "..." era PERFETTO.
    > In 3 righe ha spiegato quello che tu non capirai
    > nemmeno tra 10
    > anni.
    > http://www.pcworld.com/article/2043661/darkleech-m

    Riportiamo il succo dell'articolo:

    "The Blackhole kit then tries to exploit unpatched web browsers or vulnerable Java or Adobe Reader plugins in order to install malware. If an exploit is successful, several pieces of malware are placed on the victim's computer, Duquette wrote."

    Traduco per i diversamente informatici

    Il kit Blackhole dunque prova a sfruttare i browser non patchati, o i plugin vulnerabili di Java o Adobe Reader , al fine di installare malware .
    Se l'operazione ha successo, alcuni malware di Duquette sono collocati sul computer della vittima.

    Ora esaminiamo i concetti chiave: occorre un browser non patchato con plugin java e adobe bacati, al fine di installare qualcosa (dipendente dal sistema operativo) che poi andra' in funzione.

    Non viene citato alcun sistema operativo, che e' PALESEMENTE SOTTINTESO.

    Di che sistema operativo si parla?
    Lo riuscirai a capire tu in 10 anni?
  • Eccolo, è arrivato il difensore dei "deboli".
    L'esempio è uno dei TANTI....preferisci che parliamo di CDorked?

    Il succo è, riassumo per i diversamente Homo Sapiens: Linux e, più in generale l'Open Source, non sono assolutamente immuni a malware e ci sono diversi esempi in giro.
    Poi concordo sul fatto che il codice open è mediamente molto migliore, che i bug critici sono meno e che, soprattutto, vengono chiusi in tempi record. Personalmente uso Mint e sono contentissimo, non userei quell'aborto di Windows 8 nemmeno sotto tortura.
    non+autenticato