Alfonso Maruccia

Quanto è bucato Internet Explorer?

Una nuova ricerca evidenzia il pericoloso impennarsi delle vulnerabilità nel browser Web più popolare al mondo. Mentre i ricercatori di VUPEN incassano ricompense per falle scoperte anni fa

Roma - Stando ai dati raccolti da Bromium Labs, nel 2014 il numero di vulnerabilità scoperte nel codice di Internet Explorer è raddoppiato rispetto all'anno scorso. Si tratta di un risultato inquietante, per di più raggiunto in soli sei mesi.

La ricerca di Bromium sui trend nello sfruttamento delle vulnerabilità di sicurezza inchioda dunque IE come il re incontrastato di falle e bug pericolosi, un titolo poco desiderabile a cui si accompagna il più alto numero di patch correttive mai rilasciate da Microsoft.

Nel 2014 Redmond ha distribuito più patch di quelle pubblicate nei dieci anni precedenti, sostiene la security enterprise, anche se non sono tutte cattive notizie: col tempo "bucare" IE è diventato più difficile e oggi i cracker prediligono usare componenti esterni come Adobe Flash per sovvertire i meccanismi di sicurezza del browser, mentre Microsoft si è impegnata in maniera concreta nell'implementare "miglioramenti architetturali" capaci di rafforzare e rendere maggiormente resilienti i suddetti meccanismi.
Secondo Bromium la situazione delle vulnerabilità è migliorata parecchio nel caso di Java, con la VM di Oracle che nella prima parte del 2014 non è stata colpita da falle zero day diversamente da quanto successo nell'anno precedente.

A non aiutare la sicurezza di IE ci pensano ovviamente la popolarità del browser e la necessità, per Microsoft, di mantenere la retrocompatibilità con gli standard delle versioni meno recenti del software. Non stupisce, in tal senso, venire a conoscenza del fatto che gli esperti di VUPEN sono riusciti a guadagnare la ricompensa economica dell'ultimo contest Pwn2Own con una falla scoperta tre anni prima, una vulnerabilità pericolosa nella sandbox della Modalità Protetta di IE che è rimasta dormiente nel codice del browser per un'eternità (informaticamente parlando) prima che la società informasse Microsoft della sua esistenza.

Alfonso Maruccia
Notizie collegate
46 Commenti alla Notizia Quanto è bucato Internet Explorer?
Ordina
  • Explorer resta comunque molto sicuro rispetto agli utenti che lo usano.
  • - Scritto da: ratte
    > Explorer resta comunque molto sicuro rispetto
    > agli utenti che lo
    > usano.

    Clicca per vedere le dimensioni originali
    non+autenticato
  • - Scritto da: ratte
    > Explorer resta comunque molto sicuro rispetto
    > agli utenti che lo
    > usano.

    C'e' solo una cosa che fa piu' schifo di IE, e sono i servi che lo difendono gratis.
  • Più che una difesa di IE, mi sembra un attacco all'UQM (Utonto Quadratico Medio) di Microsoft...A bocca aperta
  • E' del tutto inutile suonare questi campanelli d'allarme; IE continuerà a detenere il 60% del mercato e Windows manterrà il suo 90%.

    Così vuole l'industria del software ...
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > E' del tutto inutile suonare questi campanelli
    > d'allarme; IE continuerà a detenere il 60% del
    > mercato

    LOL... ma dove l'hai sentita questa ca**ata? Sei rimasto al 2009?
    non+autenticato
  • - Scritto da: ...
    >
    > LOL... ma dove l'hai sentita questa ca**ata? Sei
    > rimasto al 2009?

    Guarda che a me questa situazione non fa certo piacere; purtroppo, però, bisogna essere realisti. Vatti a leggere le statistiche ufficiali su netmarketshare.com: Windows è al 91% e IE è al 58% (considerando l'insieme di tutte le versioni).

    Se si eccettuano pochi casi isolati, in tutto il mondo gli accordi sottobanco (e a dir poco torbidi) tra M$ e i vari Stati permettono di imporre alle pubbliche amministrazioni l'uso di Windows con tutti gli annessi e connessi (IE, Outlook Express, M$ Office, etc); tutto ciò è già sufficiente a garantire a M$ una vasta quota di mercato.
    Poi ci sono i PC venduti in tutto il mondo, non si sa in basa a quale legge, con Windows già installato insieme a IE.

    Non è una lotta ad armi pari. IE può anche essere (e lo è di sicuro) il peggior browser in assoluto, ma se quasi te lo impongono per legge, c'è poco da fare.
    non+autenticato
  • > Poi ci sono i PC venduti in tutto il mondo, non
    > si sa in basa a quale legge, con Windows già
    > installato insieme a
    > IE.

    Mai usato IE come browser, a parte sporadiche eccezioni, ma io questa cosa che su un PC Windows non debba esserci preinstallato IE proprio non la capisco. E' il loro prodotto, lo proporranno come meglio credono.
    Starà eventualmente alla gente o comprare del tutto un altro tipo di computer, o farselo/farselo fare o, al minimo, scaricare subito un altro browser.
    Non è che se vai a comprare una macchina te la danno senza ruote, perché così ci metti quelle che vuoi tu
    non+autenticato
  • - Scritto da: pierugo

    > Non è che se vai a comprare una macchina te la
    > danno senza ruote, perché così ci metti quelle
    > che vuoi
    > tu

    Ma io posso comunque far TOGLIERE le ruote di fabbrica, e far montare quelle che voglio io.

    Invece IE non si puo' togliere.
    Puoi solo affiancarci un altro browser, impostarlo come predefinito, ma questo non impedisce al malware di sfruttare comunque la presenza di IE e dei suoi bug per fare quello che vuole.
  • - Scritto da: panda rossa
    > - Scritto da: pierugo
    >
    > > Non è che se vai a comprare una macchina te
    > la
    > > danno senza ruote, perché così ci metti
    > quelle
    > > che vuoi
    > > tu
    >
    > Ma io posso comunque far TOGLIERE le ruote di
    > fabbrica, e far montare quelle che voglio
    > io.
    >
    > Invece IE non si puo' togliere.
    > Puoi solo affiancarci un altro browser,
    > impostarlo come predefinito, ma questo non
    > impedisce al malware di sfruttare comunque la
    > presenza di IE e dei suoi bug per fare quello che
    > vuole.

    Lo sappiamo tutti perché IE non è disinstallabile: all'epoca della "guerra" fra IE e Netscape la Microsoft per vincere la competizione cercò di fare un browser integrato col sistema operativo per poterlo avere pre-installato nel sistema e buttare fuori dal mercato Netscape (che voleva fare leva sul fatto che la Microsoft non faceva competizione leale pre-installando il proprio browser).

    La scusa di Microsoft? Secondo loro il browser non era più da intendere solo "un browser" ma un vero e proprio "sistema operativo nel sistema operativo" (e rendiamoci conto di quanto sia ridicolo e demenziale questo concetto), e quindi arrivarono idiozie che non servono a nessuno e che infatti nessun altro browser usa, come ActiveX, VBScript, roba che solo un folle potrebbe mettere in un browser e che creò buchi di sicurezza in cui ci poteva passare un aereo.

    Rendiamoci conto: la Microsoft, invece di "isolare" il browser in una sandbox come sarebbe stati giusto e logico, diede al browser la possibilità di accesso pressoché illimitato al sistema. Roba da malati mentali.
    non+autenticato
  • Tanto rumore per nulla, in quanto:
    - l'articolo evidenzia i tentativi di attacco su IE per la maggior parte effettuati dopo che la patch è già stata rilasciata
    - la maggior parte dei tentativi di attacco su IE provengono dal codice di Flash che è buggato
    non+autenticato
  • - Scritto da: suc
    > Tanto rumore per nulla, in quanto:
    > - l'articolo evidenzia i tentativi di attacco su
    > IE per la maggior parte effettuati dopo che la
    > patch è già stata
    > rilasciata
    > - la maggior parte dei tentativi di attacco su IE
    > provengono dal codice di Flash che è
    > buggato

    Ah quindi... ma allora IE rappresenta l'eccellenza, m'hai convinto!

    Clicca per vedere le dimensioni originali
    non+autenticato
  • - Scritto da: suc
    > Tanto rumore per nulla, in quanto:
    > - l'articolo evidenzia i tentativi di attacco su
    > IE per la maggior parte effettuati dopo che la
    > patch è già stata
    > rilasciata
    > - la maggior parte dei tentativi di attacco su IE
    > provengono dal codice di Flash che è
    > buggato

    Sarà anche come tu dici, ma ugualmente non riesco a capire per quale motivo continuare ad usare un browser che continua a zoppicare, viste le alternative libere da tempo presenti che, dati alla mano, per un motivo o per l'altro, zoppicano meno...
    non+autenticato
  • Mettiti nei panni del PA e di multinazioniali top 500.

    Prova tu a cambiare tutta la intranet e cambiare sistemi quali oracle su web dato che non supportano pienamente altri browser.

    Dopo la proposta e il costo ti sbattono alla porta!
    non+autenticato
  • ...quanto è sbuzzato? Deluso

    Meditate gente, meditate.
    non+autenticato
  • "mantenere la retrocompatibilità con gli standard delle versioni meno recenti"

    quali standard ? le vaccate M$ al di fuori da qualsiasi standard web ?
    non+autenticato
  • verissimo...
    non+autenticato
  • - Scritto da: amedeo
    > "mantenere la retrocompatibilità con gli standard
    > delle versioni meno
    > recenti"
    >
    > quali standard ? le vaccate M$ al di fuori da
    > qualsiasi standard web
    > ?

    forse voleva dire "mantenere la retroincompatibilità"Occhiolino
  • - Scritto da: Fulmy(nato)
    > - Scritto da: amedeo
    > > "mantenere la retrocompatibilità con gli
    > standard
    > > delle versioni meno
    > > recenti"
    > >
    > > quali standard ? le vaccate M$ al di fuori da
    > > qualsiasi standard web
    > > ?
    >
    > forse voleva dire "mantenere la
    > retroincompatibilità"
    >Occhiolino

    No, volevano dire che tutti gli exploit delle precedenti versioni potrano tranquillamente continuare ad essere utilizzati.
  • I bug, si riferiscono ai bug: retrocompatibilità per tutto.
    878
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)