Cerca nel blog

2010/01/18

Internet Explorer vulnerabile? Che confusione [UPD 2010/01/24]

Questo articolo vi arriva grazie alle gentili donazioni di "k4ez4r" e "m_maccio". L'articolo è stato aggiornato dopo la pubblicazione iniziale.

A proposito del recente articolo in cui segnalavo la vulnerabilità di Internet Explorer 6-8 che ha spinto il governo tedesco a sconsigliarne temporaneamente l'uso in seguito ad attacchi provenienti dal territorio cinese, ieri Microsoft Italia mi ha contattato offrendosi di chiarire i termini della questione.

Purtroppo il tempo mi è stato tiranno, per cui non ho potuto cogliere subito l'occasione. Ho chiesto qualche informazione scritta, e Microsoft Italia mi ha inviato una nota per la stampa in cui dice che "gli utenti delle recenti versioni di Internet Explorer sono al sicuro".

Gli attacchi, secondo Microsoft, colpiscono solo gli utenti di Explorer 6. Chi usa Internet Explorer 8, la versione più recente di IE, non è "oggetto di attacchi conosciuti e di exploit grazie alle migliorate protezioni di sicurezza".

L'azienda consiglia agli utenti che non hanno ancora aggiornato IE di farlo usando l'ultima versione (e questo mi pare il minimo per chiunque scelga di usare uno specifico browser), ma in ogni caso la nota non esclude una patch straordinaria rispetto a quelle a cadenza mensile regolare.

La nota segnala anche una pagina di Mclips.it, sito di blogger Microsoft, che offre un video di spiegazione (nel quale si ribadisce che solo IE6 su XP è vulnerabile all'exploit cinese) e parla di "clamore, davvero ingiustificato" intorno alla vicenda.

Il clamore indubbiamente c'è stato e dev'essere risultato piuttosto irritante per l'azienda: è infatti arrivata anche ai media generalisti (Corriere.it) la notizia della raccomandazione tedesca, e lo stesso è avvenuto per l'avviso dell'agenzia governativa francese CERTA, che si associa al consiglio tedesco di usare un browser alternativo in attesa della correzione da parte di Microsoft ("Dans l'attente d'un correctif de l'éditeur, Le CERTA recommande l'utilisation d'un navigateur alternatif").

E' senz'altro valida l'obiezione di Feliciano Intini, Chief Security Advisor di Microsoft Italia, che parte della colpa è delle aziende che hanno continuato a usare browser "paleolitici" e degli utenti che hanno visitato siti-trappola; però a questo punto il messaggio diventa un po' confuso.

E' vero che gli attacchi hanno riguardato bersagli molto precisi, ma ormai il codice dell'exploit sfruttato per commetterli, denominato Aurora da McAfee, è in circolazione (ed è già incluso nel software di penetration testing Metasploit). Quindi nulla vieta a qualche criminalucolo di adoperarlo su più vasta scala contro bersagli di altro genere. Quindi la necessità di vigilanza vale per tutti gli utenti e non solo per alcune utenze chiave delle grandi aziende.

Inoltre Microsoft dice ripetutamente nei comunicati che solo IE6 è vulnerabile a quell'exploit e che "gli utenti delle recenti versioni di Internet Explorer sono al sicuro", aggiungendo anche una tabella molto esplicita. Ma l'advisory 979352 della stessa Microsoft dice che fra i software colpiti ci sono IE7 per XP e Vista e IE8 in Windows Vista e Windows 7. Idem dicasi per i siti di sicurezza informatica del governo tedesco e di quello francese. Lo stesso Mclips.it linka una segnalazione del CERT-spc italiano che contiene questa frase (evidenziazioni aggiunte): "risulta che soltanto la versione di Internet Explorer 6 sia particolarmente esposta all'exploit rilevato in Rete, mentre le versioni successive funzionanti sui sistemi operativi XP, Vista e SEVEN, risultano vulnerabili unicamente in condizioni difficilmente replicabili per l’utenza comune; le misure di protezione disponibili nelle nuove versioni di Internet Explorer e negli ultimi sistemi operativi Micosroft [sic], sono in grado di mitigare il pericolo derivante da questa vulnerabilità (veggasi bollettino del CERT-SPC)."

"Mitigare", se non erro, non significa "eliminare". Allora qual è la versione giusta? Solo IE6 su XP, o anche altri IE su altri Windows? Spero di avere maggiori chiarimenti domani.


2010/01/19


Feliciano Intini di Microsoft mi chiarisce via mail che gli risulta che "cambia l'effetto che l'exploit è in grado di produrre sulle diverse versioni... solo su IE 6 è tale da produrre un'esecuzione di codice da remoto tale da mettere a rischio gli utenti".


2010/01/21


Microsoft ha rilasciato la patch che risolve la vulnerabilità. I dettagli sono in questo articolo.


2010/01/24


McAfee ha pubblicato un'analisi del protocollo di comunicazione utilizzato dall'attacco di origine cinese, denominato Aurora.

34 commenti:

Anonimo ha detto...

anche alla bbc è appena passato un servizio che riepiloga il tutto

qui la versione web
http://news.bbc.co.uk/2/hi/technology/8465038.stm

molti dubbi anche in questo caso

secondo me dipende quasi sempre dal fattore umano, anche se IE si è troppo spesso rivelato un colabrodo

può essere tutto ciò collegato al presunto attacco dicembrino nei confronti di youtube?

Francesco ha detto...

Ma quello che mi chiedo io, com'è possibile che a Google ci sia ancora qualcuno che usa IE6???

Paolo Attivissimo ha detto...

com'è possibile che a Google ci sia ancora qualcuno che usa IE6???

No, aspetta: a quanto mi risulta, gli attacchi sono avvenuti ai danni di utenti di Google che usavano IE. Non ai danni di dipendenti di Google.

TheKaspa ha detto...

Io continuo ad usare Firefox... e Chrome per i giochini in flash, lo supporta meglio in ambiente Linux!

Unknown ha detto...

Ogni tanto i c.d. mitigating factor delle note tecniche di Microsoft sfiorano la comicità. Per questo viene citato il restricted mode di IE attivato per default sui server e il fatto che l'utente potrebbe non avere privilegi elevati nel computer.
Ci manca solo che come mitigating factor venga citato il fatto che il PC potrebbe non essere connesso a Internet.

FenderJazz ha detto...

"Allora qual è la versione giusta?"

La versione giusta è:
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1.7) Gecko/20100106 Ubuntu/9.10 (karmic) Firefox/3.5.7

Come tra parentesi potrai ben vedere dai log del tuo sito :P

JohnWayneJr ha detto...

Dove lavoro io si usa ancora IE6, e non ci sono scuse.

Recentemente però sono stato a casa di un amico che aveva problemi di virus, e ho dato un occhiata al suo PC: sistema operativo Windows XP (non SP1-2-3, solo XP!!!), Internet Explorer 6 nemmeno l'ultima versione aggiornata, e Norton Antivirus non aggiornato dal 2007 (!!!).

E ti credo che aveva problemi di virus, direte voi, incoscente, e quant'altro.

Giustissimo.

Allora, prima cosa disinstallo Norton (non posso più aggiornarlo per via delle licenze, dovrei pagare, meglio passare ad Avira). E qui sorge il primo problema.
Mi collego a internet per l'ovvio aggiornamento dell'antivirus: mi dice 8 mega circa, ok, aspettiamo.
Bene, dopo un'ora e venti minuti di scaricamento, mi arrendo.
UN'ORA E VENTI MINUTI PER SCARICARE 8/10 MEGA, e non aveva ancora finito!!!

Scopro che il virus l'ha preso da una chiavetta della figlia che arrivava dalla scuola (la maestra dice che "sì, probabilmente i PC a scuola sono infetti", ed è la seconda volta che sento che i Pc della scuola sono infetti, in due scuole diverse).

Il mio amico mi spiega che l'ADSL non è ancora arrivata (paese di 4/5000 abitanti nel bel mezzo della ricchissima Padania), e l'unico collegamento è il 56k o una chiavetta con abbonamento mensile con velocità non certo idilliache.

Ora, mi chiedo e vi chiedo:
1) In una situazione come quella, come è possibile pensare di aggiornare il sistema operativo o il browser, se non lasciando acceso e collegato il PC una settimana (quanto è grande, per esempio un service pack? E la versione 8 di IE?)
2) Possibile che le scuole in Italia, invece di educare alla sicurezza, siano esse stesse i primi veicoli di infezione?
3) Possibile che nel 2010 un Paese del G8 non abbia ancora raggiunto almeno i paesi in pianura e sopra i 500 abitanti (sono buono, non voglio dire il 100% del territorio, ma dovrei) con l'ADSL?
Possibile che il governo invece abbia ancora tagliato i fondi per lo sviluppo della banda larga?

Il Lupo della Luna ha detto...

E probabilmente gli utenti "attaccati" non erano utenti "casalinghi" e non hanno usato le minime precauzioni quando usano un computer e se ne fregano delle policy di sicurezza aziendali.

E questo non dipende dal browser, dipende dalla testa di chi lo usa.

Tuttavia la notizia è stata data (ovviamente) in modo confuso. RAI Radio1 ha detto che i computer "violati" erano di "noti attivisti Cinesi", mentre altre emittenti hanno parlato di "violazione dei computer di Google".
Il fatto che si parli di un exploit di IE comunque mi fa pensare che la cosa riguardi i CLIENT (cioè le macchine degli utenti finali) e non i SERVER (cosa che mi preoccuperebbe molto di più).
Quello che mi fa strano è che l'accesso non autorizzato ai computer di queste persone possa aver messo in crisi Google... Insomma, se questi sono stati così "furbi" da tenere informazioni veramente critiche sui PC senza proteggerle in nessun modo beh, non mi sento di incolpare la falla di IE. Mi sa che qui qualcuno non la racconta giusta.

Comunque, in Cina non usano molto Firefox e linux, dato che la stragrande maggioranza delle copie di Windows che si trovano laggiù è pirata.

Il Lupo della Luna ha detto...

@John Wayne: il tuo amico ha ragione solamente in parte. Ormai quella di "non mi arriva l'ADSL" è una scusa, dato che esistono tecnologie di accesso a banda larga (non faccio nomi per non fare pubblicità) via satellite a costo e prestazioni paragonabili ad una ADSL.

La gente continua a usare IE6 su XP perchè la copia che usa è pirata e Microsoft non fa scaricare IE8 se la copia di windowa non risulta genuina. Acciderbolina, se non volete spendere soldi per il sistema operativo mettete linux no?

Quindi il piagnisteo che "il Governo non agevola la banda larga", scusate tanto ma personalmente mi scassa i cabbasisi. Noi italiani dovremmo ricordarci del vecchio adagio "chi fa da se fa per tre", un tempo molto diffuso ma da un paio di decenni dimenticato e smetterla di aspettare che le cose ci piovano "dall'alto" (anche se parlando di internet via satellite..... ;) )

Chiedo scusa a Paolo per aver approfittato dello spazio qui.

Pierluigi GG ha detto...

Non me lo so spiegare ma la foto dell'articolo mi inquieta non poco. Il gatto bianco, con quella zampa protesa in avanti, sembra quasi in procinto di spiccare un balzo verso l'osservatore. E poi tutti quegli occhi spalancati e fissi verso uno stesso punto.. tutto l'insieme ha un che di "shining-iano", compreso il gatto che, incurante di tutto, mangia sullo sfondo ;-)

peppe ha detto...

Ci sarebbe anche da considerare questo Security Bulletin (MS10-01):

This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if a user viewed content rendered in a specially crafted Embedded OpenType (EOT) font in client applications that can render EOT fonts, such as Microsoft Internet Explorer, Microsoft Office PowerPoint, or Microsoft Office Word. An attacker who successfully exploited this vulnerability could take complete control of an affected system.

Vittorio ha detto...

@ Mousse
La gente continua a usare IE6 su XP perchè la copia che usa è pirata e Microsoft non fa scaricare IE8 se la copia di windowa non risulta genuina.
Vallo a dire ai dirigenti della ASL dove lavoro io: hanno appena installato XP professional originale con IE6 e basta! Non ne ho la certezza, forse ci sono gli SP, ma ripeto, non ne sono sicuro. Ovviamente IE6 è il mezzo principe per la comunicazione di referti e quant'altro...

Il Lupo della Luna ha detto...

@vittorio: bella sta cosa. Naturalmente ho lasciato fuori dal discorso la Pubblica Amministrazione: lì entrano in ballo contratti d'assistenza appaltati e altre cosette simpatiche. Quasi lo stesso per le aziende. Il problema è che in questo modo solo alcuni utenti casalinghi hanno OS e programmi aggiornati (quelli che li han comprati). Nel mio ufficio abbiamo tutti Mac e gli aggiornamenti sono disabilitati apposta.

Come se non bastasse, nemmeno Firefox e compagnia sono immuni da exploit e problemi di sicurezza..

@peppe: l'exploit del font non è il primo che sfrutta il codice di rendering dei font (appunto) per eseguire codice.. Ora inorridite con me pensando che il codice di rendering dei font TrueType è lo stesso su Windows e Mac.. e che su Mac gira coi privilegi di root.

BTW la frase "controllo completo" significa che l'attaccante può eseguire il codice che gli pare con privilegi a piacere. Figo.

Io scarico gli aggiornamenti di Windows e disabilito i font truetype su linux, non so voi. ;)

FenderJazz ha detto...

@Mousse
Ma non era stato patchato il problema dei fonts?

daniele sensi ha detto...

Hai (avete) letto il relativo articolo di Repubblica? Vi ho rinvenuto un vizio di forma non da poco:
"Qual è il browser migliore al mondo?" Repubblica lo chiede agli esperti (della Microsoft)

Roberto Scaccia ha detto...

Paolo credo che invece l'attacco sia avvenuto a IE6 su "postazioni di Google". Probabilmente avranno attaccato postazioni di dipendenti Google. Che poi queste postazioni fossero fisicamente nella sede di Google o no poco importa. Sta di fatto che ancora una volta gli utenti sono il vettore principale degli attacchi.

Si parla anche di furto di segreti industriali e del resto non credo che hacker cinesi si muovano per rubare qualche credenziale di qualche sprovveduto utente. Qui si parla di spionaggio industriale...

JohnWayneJr ha detto...

La gente continua a usare IE6 su XP perchè la copia che usa è pirata e Microsoft non fa scaricare IE8 se la copia di windowa non risulta genuina. Acciderbolina, se non volete spendere soldi per il sistema operativo mettete linux no?

Falso per due motivi. La copia del mio amico è autentica.
Inoltre, è possibilissimo installare IE8 su copie pirata di Windows (basta escludere dagli aggiornamenti il WGA, che è il primo aggiornamento che vorrebbe fare Windows). L'ho personal... ehm, mio cuggino l'ha fatto su una macchina virtuale e ha funzionato a meraviglia.

esistono tecnologie di accesso a banda larga (non faccio nomi per non fare pubblicità) via satellite a costo e prestazioni paragonabili ad una ADSL.

Vero: in una frazione del comune dove vivo alcune persone l'hanno fatto. Ti evito la storia tipicamente italiana, ma sappi che di una decina di richieste, una è stata soddisfatta, le altre sono in stand-by (dalla scorsa estate!)

Paolo Attivissimo ha detto...

Roberto,

Google dice testualmente nella sua comunicazione (http://tinyurl.com/yhfgo9k):

"independent of the attack on Google, we have discovered that the accounts of dozens of U.S.-, China- and Europe-based Gmail users who are advocates of human rights in China appear to have been routinely accessed by third parties. These accounts have not been accessed through any security breach at Google, but most likely via phishing scams or malware placed on the users' computers."

Stando a quello che dice Google, ci sono state intrusioni dirette a violare Google da una parte, usando una forma di attacco, e intrusioni negli account di utenti, usando un exploit di IE.

Claudio ha detto...

Paolo: l'interpretazione dell'ambiguità "la falla è presente su tutte e tre le versioni di IE / solo IE6 è suscettibile dell'exploit" mi era abbastanza chiara; i tre browser, in particolare l'ultima versione, hanno architetture diverse e pertanto è estremamente facile che lo stesso exploit dia risultati completamente diversi.

Tieni inoltre conto che gli stessi sistemi operativi impiegano tecniche per rendere più complessi o del tutto inefficaci certe modalità di attacco, utilizzando ad esempio il bit NX supportato ormai da tutti i processori oppure l'Address space layout randomization (ASLR), entrambe tecniche che tra l'altro vengono utilizzate, a quanto mi risulta, da IE8. Queste tecniche ovviamente non risolvono la falla, ma rendono pressochè impossibile sfruttarla. In pratica è come se i rapinatori cercassero di entrare nella cassaforte della banca bucando un muro meno robusto degli altri, ma nel contempo la struttura interna dell'edificio cambiasse in continuazione: alla fine il muro viene anche bucato, ma se questi si trovano nel bagno al posto che in cassaforte al massimo... non tirano l'acqua. :)

Paolo Attivissimo ha detto...

Grazie Claudio,

ora è più chiara la distinzione. Che la falla (sfruttabile o meno) ci sia in tutte e tre non è bene, comunque. E' una debolezza che altri exploit potrebbero sfruttare.

Però non capisco perché le agenzie di sicurezza francesi e tedesche siano così categoriche. Eccesso di prudenza? Eccesso di semplificazione?

Il Lupo della Luna ha detto...

Scommetto sull'eccesso di prudenza. Nella sicurezza informatica essere paranoici paga..

Tra l'altro molti exploit e "falle" si basano struttura dei programmi (da come son memorizzati i dati ed il codice nella memoria del computer e addirittura dall'architettura del processore) e non dipendono del tutto dal codice.
Posso scrivere un programma in modo da rendere più complesso sfruttarle, o fare in modo che anche sfruttandole non possa fare troppi danni, ma non è possibile rendere un programma inattaccabile.

Vi consiglio di leggere "l'arte dell'hacking" di Jon Erickson che parla proprio di queste cose ed è molto divulgativo.

La vulnerabilità dei font citata da peppe probabilmente è un'altra rispetto a quella a cui ti riferisci.

gabibbo ha detto...

parliamo di cose [ben] più serie: ma che bei gattini!
:-)

Niebla ha detto...

Per tutti quelli che pensano che l'utente non aggiorni sistema opertativo e browser perchè l'hanno piratato ricordo che:

- l'utente medio non sa aggiornare un sistema operativo. se gli aggiornamenti automatici sono attivi per scaricamento e installazione senza richiesta di conferma, questi vengono eseguiti

- se gli aggiornamenti richiedono di confermare l'installazione, l'utente medio preoccupato dal messaggio sconcertante (e non sto facendo una battuta, quel messaggio può provocare ansia agli utenti) annullerà l'installazione e gli aggiornamenti da effettuare si accumuleranno.

--
Mondo del lavoro:
molte grosse aziende si sono imposte degli standard interni per evitare confusione e questi standard non sono variabili a seconda delle correnti di pensiero, una volta stabiliti non cambiano nel tempo. variare di poco questi standard porta al caos.

è facile dire: aggiorniamo internet explorer 6 e installiamo il 7 o l'8.
chi parla con leggerezza di questi aggiornamenti non si rende conto che un sito web ideato per ie6 (e a volte anche per ff2, ff3) viene visto in maniera totalmente stravolta su ie7,8
senza contare che quando si parla di realtà aziendali, a volte esistono plugin creati ad hoc che funzionano magari soltanto su ie6 e non sulle versioni successive. quindi pongo la seguente domanda: aggiorniamo un browser e paralizziamo un'azienda?

--
mia situazione attuale:
sono recentemente passato da windows2000 a windowsXp ma soltanto perchè dovevo installare il nuovo ambiente di programmazione che funziona da windowsXp in su. (non posso passare a vista perchè con l'hardware che ho sarebbe lentissimo) e continuo a testare su ie6 poichè fa parte dello standard interno.
per navigare in internet uso la versione più recente di ff (e installandola ho ignorato una regola interna che mi vieta di installare software non conforme allo standar aziendale. Posso installare software soltanto per un periodo temporaneo dopo aver effettuato una richiesta motivata per ottenere diritti amministrativi. In realtà posso continuare a usare ff poichè ho motivato la sua presenza dicendo che lo uso per lo sviluppo come mezzo fondamentale per effettuare il debug degli applicativi (il che è vero))

naturalmente in internet ci vado con ff e non con ie visto che ff lo tengo aggiornato.

Turz ha detto...

chi parla con leggerezza di questi aggiornamenti non si rende conto che un sito web ideato per ie6 (e a volte anche per ff2, ff3) viene visto in maniera totalmente stravolta su ie7,8
senza contare che quando si parla di realtà aziendali, a volte esistono plugin creati ad hoc che funzionano magari soltanto su ie6 e non sulle versioni successive. quindi pongo la seguente domanda: aggiorniamo un browser e paralizziamo un'azienda?


Purtroppo hai ragione.
Però permettimi... anche fare applicazioni aziendali che funzionano con una sola versione di un solo browser non mi pare esattamente lungimirante.
Soprattutto conoscendo la velocità con cui si propaga il malware che ne sfrutta le falle.

Unknown ha detto...

Paolo!!!! Mitigare NON vuole dire eliminare!!!!! Possibile che nessumo sappia piu' l'italiano?!!

Willy ha detto...

Possibile che nessumo sappia piu' l'italiano?!!

Non mi stupisce questa cosa.
C'è un sacco di gente che non sa neppure leggere.

matteo ha detto...

"risulta che soltanto la versione di Internet Explorer 6 sia particolarmente esposta all'exploit rilevato in Rete"

in altre parole:

"risulta che soltanto la versione maggiormente utilizzata di Internet Explorer (la 6) sia particolarmente esposta all'exploit rilevato in Rete"

P.S: Paolo, scrivere in questa textbox è quasi impossibile, adirittura non si può neanche spostare il cursore con le freccie, oltre ai soliti problemi di taglia/incolla.

matteo ha detto...

frecce, frecce

Claudio ha detto...

Grazie Claudio,

ora è più chiara la distinzione. Che la falla (sfruttabile o meno) ci sia in tutte e tre non è bene, comunque. E' una debolezza che altri exploit potrebbero sfruttare.


Sicuramente si, ma si sta parlando di una falla non pubblicamente conosciuta: ora che lo è, basta attendere i tempi tecnici (in genere piuttosto brevi) perchè venga tappata.

In ogni caso altri potrebbero sfruttare lo stesso exploit solo nel binomio dello scenario attuale Windows XP + Internet Explorer 6 (si, dalle notizie che ho letto funziona solo se stai usando Windows XP oltre a IE6). Tuttavia reputo che se usi Windows XP e IE6 e non ti aspetti un problema del genere beh è come sorprenderti se la tua macchina ti pianta in asso dopo 300 mila km percorsi di cui gli ultimi 150 mila senza manutenzione.

In altri termini è bene tappare la falla il prima possibile, ma è molto meglio nel mentre cambiare la macchina, prima che ti si disfi da sotto il sedere. :)


Però non capisco perché le agenzie di sicurezza francesi e tedesche siano così categoriche. Eccesso di prudenza? Eccesso di semplificazione?

Io ho un'altra interpretazione, ovvero il tentativo da parte dei consulenti informatici del governo di cavalcare l'onda per sferrare un attacco a Microsoft o ai loro prodotti (e ne hanno il potere perchè tanto i politici non posso che assumere integralmente ciò che questi dicono, non capendone una mazza). Le motivazioni possono essere politiche (uso un termine forte: sabotaggio di una grande società extraeuropea; l'Europa unita d'altronde sta sfidando gli Stati Uniti su più fronti, e già in passato ha fatto multe e richieste per lo meno discutibili alla stessa Microsoft) o ideali (Microsoft è il male, ma credo più nelle motivazioni politiche).

QuakePC ha detto...

che bello leggere queste notizie, basta semplicemente usare un altro browser o un altro sistema operativo...

nrc ha detto...

Vorrei segnalare che il gruppo VUPEN Security distribuisce un exploit efficace anche contro Internet Explorer 8.

Sulla loro newsletter si legge:

Internet Explorer 0-DAY - DEP will not protect you !

VUPEN Security has successfully created a reliable exploit for the
recently disclosed Internet Explorer 0-day. Our exploit bypasses DEP
(Data Execution Prevention) and works against Internet Explorer 8 and
Internet Explorer 6.

Luigi Rosa ha detto...

SANS ha appena pubblicato un articolo in cui avvisa che sarebbe possibile bypassare il DEP anceh con IE8.

So much for mitigating factors...

Il Lupo della Luna ha detto...

QuakePC: finchè usi il computer per divertirti, ok. Quando hai bisogno di farci cose serie (lavorare, per fare un esempio :p) capita spesso di essere vincolati a questo o quel programma piuttosto che a questo o quel sistema operativo.

Spesso, per motivi economici (costi degli upgrade, periferiche esotiche, ecc...), software e sistema operativo siano, in termini informatici, obsoleti.

Ho visto, un paio d'anni fa, usare Smoke (un programma di compositing). Ebbene girava su un biprocessore Pentium 2, 512 mega di ram, schede video realtime dedicate e... WINDOWS NT 4.

Le falle nei programmi sarebbe meglio se non ci fossero, ma visto che ci sono cerchiamo di non facilitare il lavoro a chi le sfrutta, per quanto possibile.

E basta un minimo di attenzione anche se non si fanno gli ultimissimi aggiornamenti: i classici consigli di non fidarsi dei file allegati, controllare l'indirizzo del browser, utilizzare password maggiormente "sicure", soprattutto non tenere dati sensibili sul computer con cui si naviga, e se ci sono tenerli criptati, non lasciare il computer acceso e connesso ad internet quando non serve, riavviarlo ogni tanto... Il classico buon senso, insomma.

Il Lupo della Luna ha detto...

@Luigi Rosa: hmmm qualcuno mi può spiegare cos'è una " a use-after-free vulnerability "?

Senza andare troppo sul tecnico, grazie ^^