Cerca nel blog

2008/12/19

Browser colabrodo, rattoppi per tutti

Pezza d'urgenza per Internet Explorer, ma anche le alternative non sono da meno


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Internet Explorer si è da poco meritato una patch d'urgenza, al di fuori del ciclo mensile consueto, per una vulnerabilità descritta da Repubblica con un titolo da panico ("Una falla in Internet Explorer mette a rischio milioni di utenti") appiccicato a un articolo in realtà molto chiaro, sensato e corretto. Speriamo che il felice trend di far scrivere d'informatica a chi ne capisce (in questo caso Alessandro Longo) prosegua e si estenda ad altri argomenti. E ad altre testate. Sarebbe una vera rivoluzione.

Paradossalmente, il clamore suscitato da articoli nei media generalisti, come quello di Repubblica (ci si è messa anche la BBC) ha messo in agitazione numerosi utenti al punto che non si sono resi conto che questi allarmi sono nel frattempo diventati obsoleti, perché Microsoft ha appunto rilasciato un aggiornamento straordinario per turare questa falla in grado di rubare password e dati personali. Non c'è affatto bisogno di aspettare il 9 gennaio prossimo, come dice per esempio l'articolo di Longo (scritto martedì 16, appena un giorno prima del rilascio della patch). E' già pronto da mercoledì scorso e il vostro computer probabilmente l'ha già installato.

L'aggiornamento di Internet Explorer viene infatti scaricato e installato automaticamente, se non avete bloccato in qualche modo Windows Update (accessibile tramite il Pannello di Controllo di Windows oppure sotto il menu Strumenti in Internet Explorer). A partire dal riavvio successivo di Windows, la falla di IE, presente nelle versioni 5, 6, 7 e 8, è turata (le prime segnalazioni davano come vulnerabile solo la versione 7, ma sono state corrette). Quindi non ignorate, come fanno tanti, il fumetto che vi dice che ci sono aggiornamenti e seguite invece le sue istruzioni. Fine della storia.

La decisione di Microsoft (qui il bollettino di sicurezza) è stata atipica, dato che a parte la pezza d'urgenza di ottobre l'ultima patch di questo genere risale a un anno e mezzo fa, ma necessaria. La falla era stata sfruttata inizialmente soltanto dai siti meno rispettabili della Rete (warez e porno, prevalentemente su domini cinesi), ma stava cominciando a fare capolino anche in siti più seri, le cui difese erano state violate. Il bilancio dei siti infetti era arrivato ad almeno 233.000 il 17 dicembre: al momento in cui scrivo, la stringa ardoshanghai.com/s.js, una di quelle presenti nei siti contaminati, risulta in Google oltre 281.000 volte. Un elenco parziale di siti compromessi è presso Shadowserver.

L'utente non doveva fare nulla di apparentemente rischioso: bastava che visitasse uno di questi siti infetti. Una brutta storia: non sorprende che Microsoft abbia distribuito la patch di corsa, otto giorni dopo le prime segnalazioni di questo pericolo. Sorprende invece che ci siano così tanti webmaster incapaci di fare questa semplice ricerca in Google (o questa) per sapere se il loro sito è stato infettato.

Sia Google, sia i principali antivirus, comunque, offrono già un avvertimento per difendere gli utenti da queste trappole.

Se IE piange, le alternative non ridono


Gli utenti di browser alternativi non hanno vita molto più facile: Mozilla ha distribuito di corsa le versioni 3.0.5 e 2.0.0.19 di Firefox per rattoppare due altre serie di falle critiche e ha avvisato gli utenti della versione 2 di Firefox che non ci saranno altri aggiornamenti di questa versione (salvo uno, come potete leggere nei commenti qui sotto) e che pertanto è opportuno che passino alla versione 3. Come Internet Explorer, anche Firefox ha l'aggiornamento automatico e quindi dovreste essere già a posto.

Ci sono rattoppi anche per Opera, che per questo motivo ha pubblicato da poco la versione 9.63, come descritto presso Opera.com. Anche in questo caso, l'aggiornamento è automatico.

Fonti: F-Secure, The Register, The Register, Secunia

30 commenti:

theDRaKKaR ha detto...

articolo effettivamente ben fatto quello di repubblica (ossimoro? :)

gdevitis ha detto...

Mi dispiace contraddirti ma per un errore, Firefox 2.0.0.19 non sarà l'ultima versione 2.x del browser di casa mozilla. La notizia l'ho letta qui: http://www.pcworld.it/showPage.php?template=attualita&id=7927&sez=sw&masterPage=art_sezione_x.htm
e qui http://www.macworld.it/showPage.php?template=notizie&id=16118

Anonimo ha detto...

L'entità delle falle su Opera e Feriefox e la stessa di IE?

Francesco ha detto...

C'è da dire che Firefox aggiorna con stile :D

Danilo Salvadori ha detto...

Beh, Repubblica ha già inserito un nuovo articolo, sempre a firma di Longo, che parla della patch a tempo di record.
http://tinyurl.com/5vlsxa

markogts ha detto...

A proposito di Repubblica, semi OT: ho letto l'articolo sul ponte di Messina. Non voglio entrare nella diatriba ponte sì ponte no (ché poi mi accusano di buttarla in politica), solo segnalare che per un ingegnere è cosa normalissima fare relazioni di calcolo con carta e penna. A volte è l'unico modo per far lavorare il cervello. Non va considerato come segno di approssimazione o anacronismo.

Anonimo ha detto...

Non ne ho mai fatto questioni di bandiera.
Due anni e mezzo fa circa, usavo IE e il mio pc sembrava il luogo preferito per i raduni di malware e spyware.
Poi trovai un antivirus migliore e una buona applicazione per rimuoverli. Ma le cose cambiarono poco.
Finché passai a Firefox su consiglio di un amico.
Il cambiamento fu assoluto e sostanziale. Non voglio nemmeno sapere più di tanto perché è meglio, ma che lo è, è un fatto.
E non ci penso proprio a tornare indietro.

Axel DominatoR ^^^ HC ha detto...

Guido:

Da una rapida occhiata sembra che
attraverso le vulnerabilita' di IE o di Opera si potrebbe eseguire codice malevolo all'interno del pc. Il bug di Firefox invece potrebbe dare accesso ad importanti dati personali.

L'entita' dei danni e' simile, quindi. ( Sono tutte vulnerabilita' critiche )

Anonimo ha detto...

sarebbe bellissimo se potessi aggiornare il pc invece non posso farlo. sono stato costretto a disattivare aggiornamenti automatici per il semplice motivo che non posso spegnere il pc ma solo metterlo in sospensione.

a questo proposito chiedo aiuto a tutti voi perché sto diventando pazzo.

da qualche giorno ho comprato un monitor da 22 pollici e ho levato il vecchio monitor da 17 pollici della philips. ora ad ogni riavvio del pc mi parte windows con la configurazione multipla dei monitor. Il monitor da 22 pollici mi parte con una risoluzione da 800x600 e ogni volta devo disattivare i driver del philips. li ho anche cancellati ma puntualmente mi ritrovo sempre i driver di un monitor predefinito ad ogni riavvio.
nei casi peggiori il monitor 22 si rifiuta di partire con una risoluzione così bassa e lo devo scollegare e ricollegare quello vecchio per poter risettare la risoluzione ottimale per quello nuovo.

tutto questo casino ad ogni riavvio del pc. quindi posso mettere solo in sospensione altrimenti mi ci vogliono decine di minuti ogni volta per ripristinare tutto.

spero che qualche anima pia riesca ad aiutarmi altrimenti me li sogno gli aggiornamenti di windows.

Emanuele Ciriachi ha detto...

Come web developer, uso Internet Explorere solo ed esclusivamente per testare le mie pagine web in modo che vengano visualizzate correttamente anche da quei poveri utenti che ancora lo usano.

Questo grafico è abbastanza veritiero circa la quantità di tempo che questo tour de force mi costa.

Tukler ha detto...

@Emanuele:
Non parlarmene proprio oggi! Ho giusto perso gli ultimi due giorni dietro ad una cosa che avevo realizzato al volo e con Firefox funzionava perfettamente (con IE javascript non può cambiare l'innerhtml di una tabella ma bisogna aggiungere ciascuna riga e ciascuna cella con le funzioni apposite). E soprattutto non esiste niente tipo Firebug per capire cosa non gli va bene...
Per non parlare dei secoli persi in passato a cercare di fargli capire che la cache la deve lasciar perdere!

Se danno la notizia che un asteroide ha distrutto Redmond vuol dire che almeno una piccola parte del mio tempo speso per la parte viola è andato a buon fine...

Emanuele Ciriachi ha detto...

Tukler: per disattivare la cache sotto IE puoi usare la Internet Explorer Developer Toolbar - che ti permette anche di ispezionare l'HTML.

Per avere qualcosa di vicino a Firebugs (anche se non ancora paragonabile) puoi usare la Ext JS Debugging Console - parte della libreria (free) ExtJS.

badola ha detto...

a me ed altri che conosco Firefox, dopo la versione 3.qualcosa va in crash spessissimo ( su 5 macchine diverse , una di queste con Vista e le altre con XP ) .

Peccato..era stabile come una roccia.

Ma ieri è arrivato in automatico l'aggiornamento. Speriamo abbiano rattoppato anche i crash frequenti.

p.s. li avete pure voi ?

Anonimo ha detto...

qualcuno può rispondere al mio precedente messaggio per favore.
ogni consiglio è gradito altrimenti non posso aggiornare.

Sys Req ha detto...

@Adal
ma stai parlando di un pc portatile? Non potresti semplicemente disattivare il monitor multiplo e attivare quello nuovo e basta? Le combinazioni cambiano da portatile a portatile (siano maledetti per questo i produttori) ma generalmente sono combinazioni di fn+numeri o fn+f1-2-3 ecc... sul mio ha funzionato fn+4. Poi imposti una risoluzione adeguata per il monitor esterno e sei a posto...

Emanuele Ciriachi ha detto...

adal,

si direbbe che il tuo account non è quello dell'amministratore - questo spiegherebbe perché non riesci a modificare i driver.

Consiglio di contattare il sistemista, o chiunque altro abbia la possibilità di modificare il registro di sistema.

badola,

non ho problemi con i crash di Firefox - ho problemi con i memory leak, che occasionalmente arrivano a fargli occupare anche 1 Giga in memoria. Quindi occasionalmente killo il processo e lo riaprio (senza chiuderlo, altrimenti non si ricorda quali tab erano aperti).

Se non avesse questo problema sarebbe perfetto, ma per via degli addon, sia come sviluppatore che come utente continuo a preferirlo - e di gran lunga - a tutti gli altri browser.

Anonimo ha detto...

sto parlando di un pc fisso. il fatto è che ad ogni riavvio il sistema mi rileva 2 monitor invece di uno solo. un monitor predefinito e il 22 pollici samsung che mi sono comprato la settimana scorsa.
ad ogni avvio mi si avvia la ricerca nuovo hardware e mi si setta un monitor predefinito da 17 pollici con risoluzione 800x600. all'ultimo riavvio addirittura mi compare rilevamento di high audio cioè di una periferica audio ad alta definizione.

io sinceramente non ci sto capendo un tubo.

Emanuele Ciriachi ha detto...

adal,

hai i diritti di amministratore su quel computer?

Se non li hai, non puoi impostare come predefiniti i driver del nuovo monitor. Se hai cancellato manualmente i driver di quello vecchio, il sistema installa i driver standard di windows, che sono lenti e inadeguati alla maggior parte delle applicazioni - questa sembrerebbe una spiegazione alla tua situazione.

(ora ho impostato la notifica automatica ai nuovi post di questo thread, aspettati risposte rapide)

Anonimo ha detto...

si ho i diritti di amministratore su questo pc. il problema mi pare di capire è che io, per il pc, ho due monitor e quindi mi visualizza il desktop espanso per due monitor con un unico desktop. Quello che non capisco è perché windows mi installa ogni volta dei driver predefiniti di un monitor predefinito che non ho e perché me lo setta sempre su 800x600 e me lo setta come predefinito.
ad ogni avvio di solito risolvo disattivando il monitor "fantasma" e settando di nuovo la risoluzione del monitor da 22. solo che non sempre così risolvo e a volte mi tocca installare di nuovo i driver del 22 pollici.

esiste il modo di disattivare questa odiosa funzione dei monitor multipli? io ho un solo monitor non due.

Emanuele Ciriachi ha detto...

Ok, quindi il problema non è quello.

Ora, usare entrambi i monitor insieme richiede molta memoria video, per questo spesso la risoluzione e la quantità di colori del monitor secondario sono ridotte. Hai staccato completamente quello vecchio, e attaccato solo il secondo? A questo punto, il secondo dovrebbe essere quello primario, senza nessun secondario.

Anonimo ha detto...

il fatto è che io ho un monitor solo e ne voglio usare uno solo ma il pc mi configura come se ne avessi 2 e li usassi contemporaneamente.

su sistema --- schermi --- mi risulta il monitor samsung e un monitor predefinito che non ho.

io voglio usare solo un monitor non due.

non mi interessano due monitor. ho disinstallato il vecchio monitor philips e installato i driver del samsung ma ora il pc mi vede 2 monitor e non solo il samsung.

capisci cosa voglio dire?

io ho un monitor e il pc me ne vede 2

Emanuele Ciriachi ha detto...

Mhh... questa situazione non è normale. Se vai sotto Pannell di controllo --> Sistema --> Hardware --> Elenco periferiche vedi un solo monitor o due?

Anonimo ha detto...

ne vedo due. un monitor predefinito e il monitor samsung. se cerco di cancellare il monitor predefinito al successivo riavvio windows lo ripristina di nuovo e lo ripristina sempre come predefinito. se lo disattivo al riavvio successivo si riattiva.

è un mistero.

Emanuele Ciriachi ha detto...

Questa è una situazione certamente non fisiologica che non credo si risolva mediante normale configurazione. Potrebbe farti comodo una qualche utility di riparazione del registro. Anche disinstallare i driver della scheda di video, rimozione della scheda video (se ne hai una integrata nella mobo), sua reinstallazione + driver potrebbe aiutare - ma non saprei dirti, non mi è mai successa una cosa simile.

E dire che ne ho visti di PC strafatti, ma come il tuo ancora no!

Sys Req ha detto...

Adal,
ma hai provato ad andare in pannello di controllo, schermo, pagina impostazioni, a selezionare il secondo schermo (prova eventualmente identifica per vedere se compare il due sul samsung), ad attivare espandi dekstop su questo monitor e poi ad attivare la casella magicamente apparsa usa questo monitor come principale?

Anonimo ha detto...

presumo che stiamo andando un pochino OT, se vuoi possiamo continuare alla mia mail adal1274@yahoo.com

ho reinstallato i driver della scheda video 2 volte e tutto sembra ok non so cosa altro fare.

tornato OT posso solo dire che non posso aggiornare nulla di explorer o di altro perché se riattivo l'aggiornamento automatico ad ogni riavvio del pc devo riconfigurare monitor e scheda video e alla lunga è frustrante.

io credo che la disinstallazione dei driver del vecchio monitor non sia andata a buon fine e windows reinstalli ogni volta i driver standard predefiniti del monitor. poi perché si ostina a farmi partire il monitor "fantasma" come predefinito rimane un mistero...

purtroppo non posso fare molto perché quel .... del negoziante che mi ha venduto il pc si è rifiutato di installarmi windows xp originale che gli ho portato con tanto di scatola...e mi ha voluto installare una versione pirata del medesimo (tra l'altro piena zeppa di strani programmi di diagnostica e di protezione che mi disabilitano l'uso di mp3 in alcune cartelle).

e va be..

Anonimo ha detto...

sys il punto è che su sistema mi compare un secondo monitor ma se vado su proprietà risulta il monitor numero 1 come samsung mentre non risulta alcun monitor n°2 attivato.

però se riavvio il pc mi si cambia la risoluzione del monitor in modalità desktop espansa (in pratica devo usare il mouse per spostarmi nel desktop che va fuori schermo).

se spengo il pc addirittura il monitor 22 pollici mi si imposta su 640x480 ed essendo una risoluzione troppo bassa il monitor rimane nero e devo ricollegare il vecchio monitor riconfigurare la configurazione e reinstallare driver e tutto del 22 pollici.

io di fatti da una settimana non spengo più il pc ma lo metto in sospensione.

Emanuele Ciriachi ha detto...

Fastidio... ad ogni modo, se usi Internet Explorer (e spero per te di no), quest'aggiornamento è vitale - dovresti fare perlomeno questo, anche a costo di doverti sorbire tutto l'ambaradan.

Per il resto... senza poter toccare con mano (che sarà arduo se non vivi da qualche parte a Est di Londra!) non posso pontificare oltre.

Reinstallone winzozz?

Anonimo ha detto...

utilizzo firefox già aggiornato proprio ieri con la nuova patch per i soliti bug....

mi chiedevo se magari potessi installare windows originale senza formattare tutto.

non mi è proprio possibile farlo.

io al momento mi trovo decisamente a sud di Londra di circa 1500 km in linea d'aria.
in ogni caso entro il raggio del teletrasporto..se ne hai uno ci si può vedere.

:-))

Anonimo ha detto...

Almeno Google Chrome e fuori da questa categoria