Cerca nel blog

2010/01/18

Internet Explorer vulnerabile? Che confusione [UPD 2010/01/24]

Questo articolo vi arriva grazie alle gentili donazioni di "k4ez4r" e "m_maccio". L'articolo è stato aggiornato dopo la pubblicazione iniziale.

A proposito del recente articolo in cui segnalavo la vulnerabilità di Internet Explorer 6-8 che ha spinto il governo tedesco a sconsigliarne temporaneamente l'uso in seguito ad attacchi provenienti dal territorio cinese, ieri Microsoft Italia mi ha contattato offrendosi di chiarire i termini della questione.

Purtroppo il tempo mi è stato tiranno, per cui non ho potuto cogliere subito l'occasione. Ho chiesto qualche informazione scritta, e Microsoft Italia mi ha inviato una nota per la stampa in cui dice che "gli utenti delle recenti versioni di Internet Explorer sono al sicuro".

Gli attacchi, secondo Microsoft, colpiscono solo gli utenti di Explorer 6. Chi usa Internet Explorer 8, la versione più recente di IE, non è "oggetto di attacchi conosciuti e di exploit grazie alle migliorate protezioni di sicurezza".

L'azienda consiglia agli utenti che non hanno ancora aggiornato IE di farlo usando l'ultima versione (e questo mi pare il minimo per chiunque scelga di usare uno specifico browser), ma in ogni caso la nota non esclude una patch straordinaria rispetto a quelle a cadenza mensile regolare.

La nota segnala anche una pagina di Mclips.it, sito di blogger Microsoft, che offre un video di spiegazione (nel quale si ribadisce che solo IE6 su XP è vulnerabile all'exploit cinese) e parla di "clamore, davvero ingiustificato" intorno alla vicenda.

Il clamore indubbiamente c'è stato e dev'essere risultato piuttosto irritante per l'azienda: è infatti arrivata anche ai media generalisti (Corriere.it) la notizia della raccomandazione tedesca, e lo stesso è avvenuto per l'avviso dell'agenzia governativa francese CERTA, che si associa al consiglio tedesco di usare un browser alternativo in attesa della correzione da parte di Microsoft ("Dans l'attente d'un correctif de l'éditeur, Le CERTA recommande l'utilisation d'un navigateur alternatif").

E' senz'altro valida l'obiezione di Feliciano Intini, Chief Security Advisor di Microsoft Italia, che parte della colpa è delle aziende che hanno continuato a usare browser "paleolitici" e degli utenti che hanno visitato siti-trappola; però a questo punto il messaggio diventa un po' confuso.

E' vero che gli attacchi hanno riguardato bersagli molto precisi, ma ormai il codice dell'exploit sfruttato per commetterli, denominato Aurora da McAfee, è in circolazione (ed è già incluso nel software di penetration testing Metasploit). Quindi nulla vieta a qualche criminalucolo di adoperarlo su più vasta scala contro bersagli di altro genere. Quindi la necessità di vigilanza vale per tutti gli utenti e non solo per alcune utenze chiave delle grandi aziende.

Inoltre Microsoft dice ripetutamente nei comunicati che solo IE6 è vulnerabile a quell'exploit e che "gli utenti delle recenti versioni di Internet Explorer sono al sicuro", aggiungendo anche una tabella molto esplicita. Ma l'advisory 979352 della stessa Microsoft dice che fra i software colpiti ci sono IE7 per XP e Vista e IE8 in Windows Vista e Windows 7. Idem dicasi per i siti di sicurezza informatica del governo tedesco e di quello francese. Lo stesso Mclips.it linka una segnalazione del CERT-spc italiano che contiene questa frase (evidenziazioni aggiunte): "risulta che soltanto la versione di Internet Explorer 6 sia particolarmente esposta all'exploit rilevato in Rete, mentre le versioni successive funzionanti sui sistemi operativi XP, Vista e SEVEN, risultano vulnerabili unicamente in condizioni difficilmente replicabili per l’utenza comune; le misure di protezione disponibili nelle nuove versioni di Internet Explorer e negli ultimi sistemi operativi Micosroft [sic], sono in grado di mitigare il pericolo derivante da questa vulnerabilità (veggasi bollettino del CERT-SPC)."

"Mitigare", se non erro, non significa "eliminare". Allora qual è la versione giusta? Solo IE6 su XP, o anche altri IE su altri Windows? Spero di avere maggiori chiarimenti domani.


2010/01/19


Feliciano Intini di Microsoft mi chiarisce via mail che gli risulta che "cambia l'effetto che l'exploit è in grado di produrre sulle diverse versioni... solo su IE 6 è tale da produrre un'esecuzione di codice da remoto tale da mettere a rischio gli utenti".


2010/01/21


Microsoft ha rilasciato la patch che risolve la vulnerabilità. I dettagli sono in questo articolo.


2010/01/24


McAfee ha pubblicato un'analisi del protocollo di comunicazione utilizzato dall'attacco di origine cinese, denominato Aurora.

Nessun commento: