Cerca nel blog

2008/12/19

Browser colabrodo, rattoppi per tutti

Pezza d'urgenza per Internet Explorer, ma anche le alternative non sono da meno


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Internet Explorer si è da poco meritato una patch d'urgenza, al di fuori del ciclo mensile consueto, per una vulnerabilità descritta da Repubblica con un titolo da panico ("Una falla in Internet Explorer mette a rischio milioni di utenti") appiccicato a un articolo in realtà molto chiaro, sensato e corretto. Speriamo che il felice trend di far scrivere d'informatica a chi ne capisce (in questo caso Alessandro Longo) prosegua e si estenda ad altri argomenti. E ad altre testate. Sarebbe una vera rivoluzione.

Paradossalmente, il clamore suscitato da articoli nei media generalisti, come quello di Repubblica (ci si è messa anche la BBC) ha messo in agitazione numerosi utenti al punto che non si sono resi conto che questi allarmi sono nel frattempo diventati obsoleti, perché Microsoft ha appunto rilasciato un aggiornamento straordinario per turare questa falla in grado di rubare password e dati personali. Non c'è affatto bisogno di aspettare il 9 gennaio prossimo, come dice per esempio l'articolo di Longo (scritto martedì 16, appena un giorno prima del rilascio della patch). E' già pronto da mercoledì scorso e il vostro computer probabilmente l'ha già installato.

L'aggiornamento di Internet Explorer viene infatti scaricato e installato automaticamente, se non avete bloccato in qualche modo Windows Update (accessibile tramite il Pannello di Controllo di Windows oppure sotto il menu Strumenti in Internet Explorer). A partire dal riavvio successivo di Windows, la falla di IE, presente nelle versioni 5, 6, 7 e 8, è turata (le prime segnalazioni davano come vulnerabile solo la versione 7, ma sono state corrette). Quindi non ignorate, come fanno tanti, il fumetto che vi dice che ci sono aggiornamenti e seguite invece le sue istruzioni. Fine della storia.

La decisione di Microsoft (qui il bollettino di sicurezza) è stata atipica, dato che a parte la pezza d'urgenza di ottobre l'ultima patch di questo genere risale a un anno e mezzo fa, ma necessaria. La falla era stata sfruttata inizialmente soltanto dai siti meno rispettabili della Rete (warez e porno, prevalentemente su domini cinesi), ma stava cominciando a fare capolino anche in siti più seri, le cui difese erano state violate. Il bilancio dei siti infetti era arrivato ad almeno 233.000 il 17 dicembre: al momento in cui scrivo, la stringa ardoshanghai.com/s.js, una di quelle presenti nei siti contaminati, risulta in Google oltre 281.000 volte. Un elenco parziale di siti compromessi è presso Shadowserver.

L'utente non doveva fare nulla di apparentemente rischioso: bastava che visitasse uno di questi siti infetti. Una brutta storia: non sorprende che Microsoft abbia distribuito la patch di corsa, otto giorni dopo le prime segnalazioni di questo pericolo. Sorprende invece che ci siano così tanti webmaster incapaci di fare questa semplice ricerca in Google (o questa) per sapere se il loro sito è stato infettato.

Sia Google, sia i principali antivirus, comunque, offrono già un avvertimento per difendere gli utenti da queste trappole.

Se IE piange, le alternative non ridono


Gli utenti di browser alternativi non hanno vita molto più facile: Mozilla ha distribuito di corsa le versioni 3.0.5 e 2.0.0.19 di Firefox per rattoppare due altre serie di falle critiche e ha avvisato gli utenti della versione 2 di Firefox che non ci saranno altri aggiornamenti di questa versione (salvo uno, come potete leggere nei commenti qui sotto) e che pertanto è opportuno che passino alla versione 3. Come Internet Explorer, anche Firefox ha l'aggiornamento automatico e quindi dovreste essere già a posto.

Ci sono rattoppi anche per Opera, che per questo motivo ha pubblicato da poco la versione 9.63, come descritto presso Opera.com. Anche in questo caso, l'aggiornamento è automatico.

Fonti: F-Secure, The Register, The Register, Secunia

Nessun commento: