Cerca nel blog

2008/07/10

Patch Microsoft blocca Zone Alarm

Utenti di Zone Alarm tagliati fuori da Internet? C'entra la patch di zio Bill


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Se improvvisamente non riuscite a collegarvi a Internet, o se conoscete qualcuno che ha questo problema, la colpa potrebbe essere dell'ultima infornata di patch di aggiornamento di Windows, in particolare della patch MS08-037.mspx che risolve una falla nell'implementazione del protocollo DNS in Windows 2000, XP, Server 2003, Server 2008.

Questa patch, infatti, manda in palla Zone Alarm: chi usa questo popolare firewall si trova tagliato fuori da Internet. Check Point Software, la società che gestisce Zone Alarm, ha pubblicato uno spiegone in inglese con soluzione provvisoria. Ovviamente, essendo pubblicato su Internet, questo spiegone rischia di essere poco utile a chi non riesce a connettersi a Internet, ma così va il mondo.

2008/07/15


La situazione sembra essere tornata alla normalità con l'uscita della versione aggiornata di Zone Alarm il 9 luglio. E' stata predisposta una pagina in italiano con le istruzioni da seguire: cambiare temporaneamente la regolazione della Zona Internet a Medio e poi scaricare e installare la versione aggiornata (7.0.403 o superiore) del popolare software di sicurezza. Un riavvio e tutto riprende a funzionare.

Certamente il problema sarebbe stato evitabile se Microsoft avesse testato gli effetti del proprio aggiornamento su Zone Alarm e avesse almeno messo in guardia gli utenti prima di installare la propria patch, ma a quanto pare la cortesia verso gli utenti non si usa più se significa fare un minimo favore a un concorrente.

34 commenti:

Psk ha detto...

Però, forse, stavolta non è tutta colpa dello zio Bill.

Da ex-programmatore del mondo Windows ho visto molti sfruttare bachi e zone grigie del sistema operativo più grigio del mondo per fare diverse cose. Anche sui DNS il sistema di zio Guglielmino ha diverse zone grigie e funzionamenti un po' fuori dagli schemi.

Potrebbe essere (uso il condizionale) che semplicemente quelli di ZoneAlarm abbiano appunto scritto qualcosa di non propriamente corretto che prima funzionava comunque (o che funzionava proprio grazie a problemi nella struttura di Windows).

Non sto difendendo Windows, ma come spiegazione mi pare plausibile.

PSK

Luigi Rosa ha detto...

Concordo con pasckosky. A memoria mi sembra che Zone Alarm non sia il software piu' amichevole con il vicinato.

Comunque Zio Bill e' andato in pensione! :)

markogts ha detto...

Grazie Paolo, sempre puntuale. Infatti mi sono sentito anch'io un po' Kafka a voler cercare la soluzione su internet di come tornare a connettermi in internet.

Come dice la legge di Murphy: "Se i costruttori costruissero come i programmatori programmano, il primo picchio che passa potrebbe distruggere l'umanità".

E' stata però un'occasione per scoprire alcune cose interessanti sulla sicurezza in internet, in particolare ho scoperto questo sito per testare il firewall e la sicurezza dei propri sistemi. Carino il messaggio che ho ricevuto alla fine dei test, (più o meno): "Il tuo sistema è molto sicuro, cosa strana essendo basato su Windows".

Casualmente, dopo ho cominciato a scaricarmi Kubuntu... Incrociamo le dita...

ornitoringo ha detto...

nell'articolo di Zonelabs si raccomanda di scaricare una nuova versione di zoneAllarm, peccato che sia soltanto in inglese e durante la installazione cancella i vecchi settaggi. (parlo della versione free).

markogts ha detto...

Io di ZA posso dire solo che bene. Anche il casino di ieri, io (da non esperto) lo vedo come un "eccesso di zelo". Ma l'ultima versione che avevo installato l'ho configurata *senza problemi*, anche sul portatile che lavora con tre reti diverse (ufficio, officina, casa), con router e switch, cavi e wireless dapertutto.

markogts ha detto...

Grazie ornitoringo, infatti non vorrei dover rifare i settaggi daccapo. Aspetteremo un paio di giorni. Tanto mi par di capire che chi ha un firewall hardware non corra grossi rischi ad abbassare il livello di ZA a "medio".

Cito:

Clarifying a few things in case it helps some people.

* The articles say it's hard to reverse-engineer the patch, but there's a shrinking window before malware writers figure out how to exploit the DNS flaw. It may be a little more or less than the time ZA will take to update their product.

* When the DNS defect starts being exploited, if your operating system *or* the DNS servers you use are not patched, there will be a risk of falsified DNS results. Your browser's address bar could have the real URL of your favorite site, but the actual server you would be contacting would be a malicious one serving something that would infect the computer. In the case of a secure site (https prefix), at worst it would present the wrong certificate and you would hopefully recognize that and not do any banking or other business.

* Turning off the Windows DNS client doesn't solve the problem. It is only a caching service (remembers recent DNS results). When Firefox, for example, makes a DNS request, it does so by handing it to the Windows TCP/IP stack which sends it off to the DNS server configured in your networking settings. It is the Windows TCP/IP stack that needs patching.

* If you're maintaining a non-portable ("desktop") PC, behind a router with a firewall, install and keep the Microsoft patch and set ZA to "medium" until there's a fixed version of ZA. Setting ZA to "medium" will give you less protection against inbound connections, but this facet of ZA protection is redundant because the firewall in the router is filtering out unsolicited inbound connections.

* If you have a home PC without a router, get a router with a good firewall right away. OK models start around $50.

* The only case where you have to rely on the ZA "high" setting is a laptop/notebook connecting to a network other than your own home network. Then you're not behind the firewall of a trusted router, and the need for a stronger local firewall is more urgent than avoiding the DNS hazard.

ornitoringo ha detto...

Ho dovuto rifare tutti i settaggi della rete in ZoneAllarm per far funzionare nuovamente la mia rete domestica. Diciamo che è stata l'occasione per riverificarla con una sicurezza maggiore. e zone allar è andato anche in conflitto con Avast Antivirus free. Ma ora va tutto....

Avion ha detto...

Io l'ho disinstallato e via. Lo rimetterò più avanti, magari.
Più che altro, non riesco più a connettermi alla rete KAD.

Titus Bresthell ha detto...

non mi ricordo più chi (mi sembra tale guido g) qualche giorno fa mi insultava perchè riteneva stupido il fatto che io non aggiornassi il mio software..
chissà se dirà qualcosa adesso?

OrboVeggente ha detto...

luther blisset:
non mi ricordo più chi (mi sembra tale guido g) qualche giorno fa mi insultava perchè riteneva stupido il fatto che io non aggiornassi il mio software..
chissà se dirà qualcosa adesso?


Intervengo io, che la penso più o meno come lui sugli aggiornamenti (non ti ritengo stupido, eh!).

Se l'ultimo aggiornamento di XP "chiude" Zone Alarm, significa che Zone Alarm non serve più, giusto?
Ovvero, a che serve Z.A. su un windows XP aggiornato e con il sp3? A dar l'illusione all'utente di avere una protezione migliore?
Disabilitando però il Defender e il Firewall di windows, e di fatto quindi "sproteggendo" il sistema operativo come lo intende (e aggiorna) Microsoft.

Quindi o aggiorni Windows, o aggiorni Zone Alarm.
Le due cose, assieme, oramai non possono più andare d'accordo!!

markogts ha detto...

Orbo, ZA è molto più "leggibile" del firewall di windows, inoltre blocca anche il traffico in uscita, non solo quello in ingresso. Capisco che outlook cerchi di accedere a internet, ma che gliene frega a word? E' solo intrusione surrettizia della privacy, e ZA sotto questo profilo è moooolto più trasparente, dunque onesto.

OrboVeggente ha detto...

markogts:
Orbo, ZA è molto più "leggibile" del firewall di windows, inoltre blocca anche il traffico in uscita, non solo quello in ingresso. Capisco che outlook cerchi di accedere a internet, ma che gliene frega a word? E' solo intrusione surrettizia della privacy, e ZA sotto questo profilo è moooolto più trasparente, dunque onesto.

Questo anche DOPO le ultime patch che appunto lo "insidiano" e soprattutto DOPO il sp3?

Unknown ha detto...

@luther blissett,

Non volevo certo insultarti, ho solo espresso la mia opinione! Scusami se posso averti offeso. Comunque rimango dell'idea che i sistemi operativi vadano aggiornati. Si hanno meno problemi ad aggiornarli che a non aggiornarli, per conto mio.

Pace? :-)

(Sto anche leggendo un "tuo" libro, in questi giorni... :-)

markogts ha detto...

Orbo, che flessibilità ha il firewall di windows? Riesci a capire cosa sta facendo? Che margini di configurazione hai? Lo chiedo anche non retoricamente, perché l'ho disattivato dopo un quarto d'ora, ché non c'era un tasto o un comando che fosse uno. E tutto trasparente all'utente, che non ha idea di chi passi per le porte.

ZA ti dice tutto. E se stavolta ha cannato, io lo perdono senza esitazione, anche tenendo conto che è gratis. Poi, è ancora da vedere se ZA abbia davvero cannato, per il momento, nella mia ignoranza, lo valuto come un eccesso di zelo. La patch di windows prevede la randomizzazione delle porte per il DNS, e a ZA 'sta cosa sembrava strana e l'ha bloccata. Un'occhiata ai log svelava tutto. Ha fatto il suo dovere, un po' come Kato con l'ispettore Closeau :-)

alexandro ha detto...

Invece di togliere ZoneAlarm ho rimosso l'aggiornamento. Dopo aver resettato il modem almeno 4 volte e il PC un paio, ho provato con il secondo SO, Ubuntu, e funzionava tutto, quindi ho capito che il problema era un altro,ho disinserito ZA e tutto funzionava, una rapida googlata (ho trovato più info su blog personali) e ho capito che l'update era in conflitto. La colpa comunque è di ZA, perché pare che Microsoft avesse informato da tempo sulla natura dell'update e le altre case produttrici avevano provveduto. Resta il fatto che come firewall è davvero efficace e rinuncio volentieri ad un update per qualche giorno.

Unknown ha detto...

con la scusa della focaccia e della pizza...soldi???ma va..

OrboVeggente ha detto...

markogts:
Orbo, che flessibilità ha il firewall di windows? Riesci a capire cosa sta facendo? Che margini di configurazione hai? Lo chiedo anche non retoricamente, perché l'ho disattivato dopo un quarto d'ora, ché non c'era un tasto o un comando che fosse uno. E tutto trasparente all'utente, che non ha idea di chi passi per le porte.

Ma la mia domanda fondamentale era un'altra:
Che senso ha usare Z.A. su un pc con XP SP3, Firewall di sistema e Defender tenuti aggiornati?
Il valore estetico dell'iconcina in basso a destra?

Anch'io ai tempi di Menotti e Bixio usavo XP con Z.A. ma ora gli utenti XP dopo sp3 hanno un s.o. decisamente robusto e impermeabile.

markogts ha detto...

"Che senso ha usare Z.A. su un pc con XP SP3"

Vedere. Vedere quello che ti entra e ti esce in casa.

Paolo Attivissimo ha detto...

con la scusa della focaccia e della pizza...soldi???ma va..

Perbacco, dose doppia di Polemase e Lamentase, oggi, vero?

Nessuno ti obbliga, né io pretendo.

OrboVeggente ha detto...

markogts:
"Che senso ha usare Z.A. su un pc con XP SP3"

Vedere. Vedere quello che ti entra e ti esce in casa.


Alles klar. Viel Danke.

Dan ha detto...

Prosit!

Scherzi a parte, markogts ha ragione. Oltre all'istintiva diffidnza verso i software Microsoft, ZoneAlarm effettivamente ha un po' più di opzioni, impostazioni e visualizzatori di log del "acceso/spento" di Windows Firewall. Se uno vuol vedere e capire un minimo cosa sta succedendo con ZA può farlo, inoltre ha il vantaggio 'strategico' di non essere un componente integrato del O.S., quindi meno suscettibile a exploit. Infine posso piazzarlo sul computer di un utonto, metterlo in modalità "silenziosa" (nessun avviso) e posso stare tranquillo.
(e comunque io adesso sto provando altri software, dato che ZA free non era abbastanza configurabile per le mie esigenze... eh eh eh)

Ennio ha detto...

E così, imperterrito nella sua nativa missione, il nostro Bill, dopo aver eliminato dal mercato mondiale tutti i software più utili e intelligenti (per scopiazzarli ed appropriarsene) ed aver slealmente distrutto tutte le relative software-house, procedendo con sistematica determinazione in stretto ordine alfabetico, ora è finalmente approdato alla lettera "Z" e, con la solita scusa della "toppa" per la sicurezza (di chi?!), attenta anche a ZoneAlarm che era rimasto l'ultimo strenuo difensore della nostra sicurezza su internet!
Un caro saluto da Ennio e una grande pernacchia per Bill.

Keper ha detto...

Il problema è particolarmente spinoso per le reti locali (rete di sede esterna), infatti si riusciva a pingare la rete interna e non si usciva dal router.
Tolto l'aggiornamento (punto di ripristino) ed è andato ok (ovviamente ho disinstallato ZA che in una rete aziendale non aveva senso).
La domanda è però: funzionerà il client vpn checkpoint ora?

theDRaKKaR the bloody homeopath ha detto...

"con la scusa della focaccia e della pizza...soldi???ma va.."

prego?!

Anonimo ha detto...

perdonami, Paolo, se aggiungo un commento solo in parte attinente. Un paio di mesi fa, su una rivista pubblicano una comparativa di alcuni firewall. ZA risulta, mediamente, il migliore. Tolgo il firewall che ho ed installo ZA. Sembra vada tutto bene. Un giorno inserisco un normalissimo CD-RW dati ed ho una schermata blu: errore 0x00000044, se non ricordo male. Provo con un CD di musica, un DVD con un filmato, tutto bene. Apro Task Manager, rimetto il CD dati e vedo che si apre il processo 'imapi'. Subito la schermata blu. Do, ovviamente, la colpa al mio InCD (build 4.3.23.2) di Nero. Ma ora, leggendo di questo nuovo problemuccio, comincio a pensare che quella rivista abbia fatto un prova teorica, cioè non su computer reali, magari più di un computer con diversi programmi.

Nóónno ha detto...

Ho aggiornato questa mattina ZA dopo avviso di ZA stesso. La versione aggiornata è la 7.0.362.000 it ma presenta lo stesso inconveniente della precedente.

Il messaggio che propone l'aggiornamento è visibile qui

Vergna ha detto...

Un consiglio su un firewall :

Comodo Firewall

http://www.personalfirewall.comodo.com/index-hireit.html

e i test gli danno ragione

http://www.matousec.com/projects/firewall-challenge/results.php

JohnWayneJr ha detto...

Comodo firewall é comodo come una sedia costellata di puntine. Io ce l'ho sul portatile con Vista perché ZA non funzionava con quel sistema operativo (sapete se ora funge? Così ritorno!).

Comodo funziona (il suo lavoro lo fa, niente da dire), però ogni volta che viene lanciato un programma spara milleseicento (quando sono pochi) popup per chiedere se questo é lecito, se quell'altro va bene, se autorizzo qua e là.

E la memoria (ovvero il flag "ricorda la scelta") non funziona una volta su due.

Molto più discreto, user friendly e molto ma molto meno irritante Zone Alarm.

FridayChild ha detto...

Questa patch, per motivi che tra l'altro non mi sono chiari, cambia anche le porte usate per iniziare connessioni verso i server DNS. Prima era una porta random UDP da 1024 a 5000; dopo il patch e' sempre una porta random, ma da 49152 a 65535. Me ne sono accorto perche' non risolvevo piu' gli indirizzi esterni. Ho dovuto modificare le regole di firewall sui server (che ammettono solo il traffico in uscita necessario) con il nuovo range di porte. Dalle release notes par di capire che la modifica dovrebbe aiutare ad evitare conflitti con eventuali servizi in esecuzione. Ma de che? Il bello delle porte random e' che se una e' occupata ne viene scelta un'altra... mica saranno tutte occupate da 1024 a 5000? Bella rottura...

Giorgio Loi ha detto...

John Wayne:
Comodo funziona (il suo lavoro lo fa, niente da dire), però ogni volta che viene lanciato un programma spara milleseicento (quando sono pochi) popup per chiedere se questo é lecito, se quell'altro va bene, se autorizzo qua e là.

Dopo anni di Zone Alarm ho recentemente installato Comodo, perché ZA faceva a botte con il mio nuovo router wireless e con eMule, mentre Comodo pare andare meglio. Però lo trovo più criptico. ZA, per esempio, mostrava la lista delle applicazioni autorizzate/bloccate, mentre in Comodo non trovo nulla del genere. Mi sembra di usare il firewall di Windows. C'è una lista di autorizzazioni o qualcosa di simile?

Vinny Panini ha detto...

Forse è una cosa commerciale .... la protezione del nuovo ZA non va più su alto .....

Che abbiano sfruttato un buco per degradare un poco il loro ottimo prodotto free ... e vender meglio gli altri ...

Pensare male è peccato .... però spesso è molto vicino alla realtà

FP

bruci ha detto...

b.sera ho un problema non so' quanto grande che non riesco a risolvere.
ho installato za (forse in maniera non corretta) ora sto' tentando di disinstallarlo ma non riesco. il portatile si spegne e rimane acceso lo schermo blu con delle scritte per me incomprensibili. cosa posso fare?
mi sono fottuto il portatile?
grazie

Sys Req ha detto...

@Paolo:
Certamente il problema sarebbe stato evitabile se Microsoft avesse testato gli effetti del proprio aggiornamento su Zone Alarm e avesse almeno messo in
guardia gli utenti prima di installare la propria patch, ma a quanto pare la cortesia verso gli utenti non si usa più se significa fare un minimo favore
a un concorrente.

Sì, ma la microsoft non può mettersi lì a testare tutti i programmi che girano sul suo sistema solo perché una patch li blocca momentaneamente! E poi sarebbe una cosa impossibile, con tutti i firewall che ci sono in giro... anche se parlando di ZA...

Approposito di firewall, io fino ad ora ho sempre usato solo quello di Windows, anche se sarei molto tentato d'installare ZA, leggendo che è free... ma sapreste spiegarmi perché, pur avendo attivo il firewall di windows (diavolo, ogni tanto mi chiede se sbloccare un'applicazijone, se non è attivo così), pur avendolo attivo, dicevo, dal log di Hijackthis non risulta nessun firewall installato?

oscar ha detto...

Paolo! pensa che io sono sceso apposta dalla montagna dove ero andato in eremitaggio a studiare in pace perchè pensavo i miei, cui serviva il computer, avessero fatto casini. Alla fine ho detto: reinstallo tutto. Faccio backup e tra una cosa e l'altra mi va via un giorno intero. Alla fine ritorna il popup in basso e dopo TUTTO il lavoro fatto per rimettere a posto tutto: di nuovo non c'è più la connessione! nooooooooo. Non sai la disperazione. Solo oggi ascoltando il podcast del disinformatico che avevo in arretrato ho scoperto come mai era successo quello. Comunque poi dopo alcuni giorni tornò tutto a posto e non so come mai sia tornato a posto da solo. Comunque che ci fosse stata di mezzo microsoft non avevo avuto nemmeno mezzo dubbio!! :D

Ciao!