Alfonso Maruccia

Microsoft e Google, POODLE al guinzaglio

Microsoft rilascia un "Fix it" per disabilitare SSL 3.0 ed eliminare definitivamente il supporto al protocollo vulnerabile nel corso dei prossimi mesi. Più immediata l'azione di Google con il prossimo update di Chrome

Roma - Dalle raccomandazioni iniziali contro i rischi della vulnerabilità nota come POODLE si è ora passati ai fatti, con Microsoft che rilascia un aggiornamento "Fix it" per disabilitare in un solo colpo il supporto a SSL 3.0 su tutte le versioni di Internet Explorer supportate (6.0-11).

L'aggiornamento (reversibile come le altre patch Fix it) dovrebbe chiudere la porta alla possibilità che un malintenzionato sfrutti la vulnerabilità per forzare l'uso del protocollo SSL 3.0, arrivando a leggere in chiaro comunicazioni di rete che in teoria dovrebbero essere cifrate e illeggibili a occhi esterni.

Sul lungo periodo, la lotta di Microsoft a POODLE si farà molto più serrata e porterà alla disabilitazione definitiva di SSL 3.0 in IE, anche se in questo caso si parla di un aggiornamento in arrivo solo nei prossimi mesi.
Redmond spiega il ritardo nell'azione con la presenza attiva di un numero ridotto di clienti che ancora fa uso del protocollo vulnerabile. Attesa ridotta, invece, per l'aggiornamento della piattaforma Azure, la quale diventerà "SSL-free" a partire dal primo dicembre.

Per quanto riguarda Google, invece, l'abbandono di SSL 3.0 arriverà con la versione 40 stabile del browser Chrome programmata per le prossime settimane. Al momento Chrome (39) si limita a visualizzare un allarme giallo sull'icona di una connessione SSL.

I colossi di settore provano a rafforzare la sicurezza delle tecnologie telematiche e anche Facebook fa la propria parte in tal senso, regalando bei dollari ai ricercatori di sicurezza più capaci o anche rilasciando il codice open source di un nuovo tool per la sicurezza chiamato osquery. Con osquery è possibile tenere traccia e analizzare le operazioni comuni di un sistema operativo (Linux o Mac OS X) attraverso comode tabelle SQL, una sorta di astrazione di un OS client in forma di database relazionale che può evidenziare, attraverso i log dei processi aperti, i driver di periferica e le connessioni di rete aperte, la presenza di un agente esterno con intenti malevoli.

Alfonso Maruccia
Notizie collegate
  • SicurezzaPOODLE e SSL 3.0, insicurezza da caniTecnici Google rivelano l'esistenza di una nuova, pericolosa falla all'interno del protocollo. Una tecnologia vecchia di tre lustri e che a quanto pare andrà presto definitivamente in pensione
11 Commenti alla Notizia Microsoft e Google, POODLE al guinzaglio
Ordina
  • "Più immediata l'azione di Google"... Non direi dato che l'unica possibilità di disabilitare il protocollo SSL 3 è richiamare l'eseguibile con un parametro particolare e quindi di difficile attuazione. Si sono scordati di mettere la gestione nella pagina di configurazione e prima di metterla preferiscono eliminarne subito l'utilizzo. IE e Firefox permettono da subito disabilitarne la funzione e per situazioni particolari di retrocompatibilità ne permettono la reattivazione con un metodo user friendly.
    non+autenticato
  • - Scritto da: Dario C
    > "Più immediata l'azione di Google"... Non direi
    > dato che l'unica possibilità di disabilitare il
    > protocollo SSL 3 è richiamare l'eseguibile con un
    > parametro particolare e quindi di difficile
    > attuazione.

    Difficile attuazione?
    Un parametro?
  • le Dipendenze per te non esistono vero? e lavori in ambito IT tu? bah..auguri (a quelli per cui lavori)
    non+autenticato
  • - Scritto da: pisolo
    > le Dipendenze per te non esistono vero? e lavori
    > in ambito IT tu? bah..auguri (a quelli per cui
    > lavori)

    E che c'entrano le dipendenze?
    Qui si tratta di richiamare un eseguibile con un paraemtro in piu' se vuoi disabilitare.
    Richiamarlo senza il parametro se non vuoi disabilitare.

    Quindi?
  • - Scritto da: pisolo
    > le Dipendenze per te non esistono vero? e lavori
    > in ambito IT tu? bah..auguri (a quelli per cui
    > lavori)

    Se cambiare i valore di un parametro di chiamata, funzione per altro ampiamente prevista se tale valore è stato appunto previsto, è diventata una cosa di difficile attuazione, magari a causa di dipendenze che in questo caso non vedo a cosa possano servire se non a complicare la vita, siamo arrivati ad un bel degrado nelle regole e consuetudini di programmazione, legati da mille vincoli e lacciuoli anche dove non ce n'è proprio bisogno.

    Se il software è scritto bene, le chiamate ad un modulo eseguibile possono essere anche moltissime, ma gli eventuali parametri non devono assolutamente essere impostati come costanti contestuali, ma come variabili, la cui impostazione avviene in un unico punto, con tanto di commento sui valori che possono assumemere e le funzioni che controllano.
    In tal modo se c'è da fare una variazione del valore, si interviene a ragion veduta in un unico punto.

    Ho spiegato l'acqua calda, ma evidentemente ce n'era bisogno.
    non+autenticato
  • - Scritto da: pisolo
    > le Dipendenze per te non esistono vero?

    Eccomi ! Serve qualcosa ?
    Ma non regalo niente eh ! Non state ad ascoltare i luoghi comuni che sono state messe fuori da gente strana...
    non+autenticato
  • Cosa c'entrano le dipendenze di un software con il passare un parametro ad un eseguibile?

    Prima di dare dell'incompetente agli altri assicurati di capire gli articoli e i post che leggi, perché pare che tu abbia seri problemi di comprensione del testo.
    Darwin
    5126
  • Si sono convinto che aggiungere un parametro (che ti devi andare a cercare nella documentazione) a tutti il link non è una operazione semplice da normale user, ma soprattutto come fai il pin alla taskbar?

    Credo che sia più semplice cambiare in maniera centralizzata un comportamento da ritenersi un nuovo standard per l'utente. (Chiamare l'eseguibile con specifici parametri è utile per lanci custom)

    Cmq IMO
    non+autenticato
  • - Scritto da: Dario C
    > Si sono convinto che aggiungere un parametro (che
    > ti devi andare a cercare nella documentazione) a
    > tutti il link non è una operazione semplice da
    > normale user, ma soprattutto come fai il pin alla
    > taskbar?

    Tutti i link quanti saranno? Uno?
    E il pin alla taskbar che cosa sarebbe?
    Stai parlando di gnome, di kde o di che altro DM?

    > Credo che sia più semplice cambiare in maniera
    > centralizzata un comportamento da ritenersi un
    > nuovo standard per l'utente. (Chiamare
    > l'eseguibile con specifici parametri è utile per
    > lanci custom)

    Che prima o poi si giunga a renderlo un parametro configurabile in modo permanente da interfaccia di configurazione, ci si arrivera' senz'altro.

    Come soluzione temporanea invece, un parametro in fase di lancio sara' stata la cosa piu' rapida da fare.

    Poi se abilitarlo o disabilitarlo in base alla presenza o meno del parametro e' solo una questione di scelta.
    A me pare sensato che la modifica di un comportamento si attui con un paraemtro, invece che imporla come default e prevedere un parametro per disabilitarla.
  • - Scritto da: Dario C
    > Si sono convinto che aggiungere un parametro (che
    > ti devi andare a cercare nella documentazione) a
    > tutti il link non è una operazione semplice da
    > normale user, ma soprattutto come fai il pin alla
    > taskbar?
    https://zmap.io/sslv3/browsers.html#chrome-windows
    Darwin
    5126