Cerca nel blog

2010/05/07

Microsoft patcha di soppiatto

Le patch segrete di Microsoft


I bollettini Microsoft per gli aggiornamenti di sicurezza MS10-024 e MS10-028, pubblicati ad aprile, descrivevano soltanto una vulnerabilità classificata "importante" o "media" ma non "critica". In realtà installava silenziosamente anche delle correzioni per due falle molto più gravi, decisamente critiche, che Microsoft non ha annunciato nonostante costituissero un rischio per molti utenti, secondo quanto rivelato da un articolo della società di sicurezza informatica Core Security.

Le falle in Microsoft Exchange e nei servizi SMTP rendevano molto semplice falsificare (fare spoofing) le risposte alle query DNS; un problema non da poco, sfruttabile per vari attacchi informatici. Soprattutto, lamenta la Core Security, il fatto di non annunciare la correzione ha impedito ai responsabili della sicurezza informatica delle aziende di conoscere la vera importanza della patch di Microsoft e quindi valutarne e pianificarne opportunamente l'introduzione. Nel bollettino c'era solo un accenno annidato nelle FAQ.

Microsoft ha risposto (per esempio a The Register) con una frase molto diplomatica e Core Security ha a sua volta ribattuto: se volete immergervi nei dettagli tecnici, li trovate su Breaking Code, che spiega anche quanto sia diffusa questa prassi di affidare agli utenti aggiornamenti che correggono vulnerabilità senza annunciarlo. Oggi, per fortuna, queste correzioni infilate di soppiatto sono smascherabili dagli esperti: se volete sapere come si fa, cercate le parole binary diffing.

24 commenti:

Mr Reset ha detto...

Le patch stanno diventando un problema enorme per gli utenti e le aziende faticano a stargli dietro.
Possibile che in anni non abbiano trovato un sistema migliore?

Verzasoft ha detto...

Tipo?

Unknown ha detto...

In XP non avevo windows update attivato, lo lanciavo io ogni tanto, ma adesso con 7 (e con un pc più performante) l'ho impostato per scaricare e installare da solo gli aggiornamenti "importanti". Sarà un comportamento bovino, ma il tempo per star dietro anche agli aggiornamenti mi manca ;)

Comunque non credo esistano altre tecniche diverse dalle patch, tant'è che è il sistema usato da tutti (Win, Mac e Linux).

Inoltre posso capire che forse per le aziende avere molte patch da installare sia un problema, ma per i normali utenti non vedo grosse difficoltà.

Un saluto.

Turz ha detto...

Diffing è voce del verbo "fare il diff?

Il Lupo della Luna ha detto...

Ma per quale ragione non vengono comunicate precisamente le patch distribuite? Questione di immagine, per minimizzare la percezione dei proglemi? O banale pigrizia dei programmatori?

E soprattutto, lo fa solo Microsoft?

Mr Reset: le patch non sono altro che modifiche o aggiunte applicate al codice dei programmi.

Poi le puoi applicare direttamente e solo alla parti dei file interessate alla correzione o rimpiazzare il file per intero.

Se non sbaglio, il secondo sistema è quello maggiormente usato per questioni di comodità (ma non certo di efficienza: per cambiare 3 byte in un file da 2 mega lo riscrivo tutto...).

Le aziende sono interessate maggiormente a conoscere ESATTAMENTE in cosa consistono le patch perchè potrebbero causare incompatibilità, ma l'utente "casalingo" potrebbe anche lasciar fare automaticamente. Alla peggio, in Windows si ripristina la configurazione precedente, in Mac c'è Time Machine.. argh.. con linux se una patch mi spu**ana tutto come faccio ??

Il Lupo della Luna ha detto...

proBlemi non proGlemi ^^;;

Turz ha detto...

@Mousse:
proBlemi non proGlemi ^^;;

Perché no? Programming problems = proglems :-)

So' L'enigmista ha detto...

onomaturzo che non sei altro! (cit)

Anonimo ha detto...

gente a voi che siete esperti, ho appena creato un blog come faccio a fargli pubblicità?

Anonimo ha detto...

Per So' L'enigmista

onomaturzo che non sei altro! (cit)

Mi fischiano le orecchie! :-D

Il procedimento usato da Mousse è un'applicazione molto spinta della parola valigia (o meglio portmanteau word, essendo il portmanteau un tipo particolare di valigia), oppure parola macedonia, chiamato da alcuni enigmisti, forse anche da te, "doppio scarto centrale". In linguistica è detto aplologia, ma Cardona ha cercato di proporre la metafora mineralogica "drusa".

Gian Piero Biancoli ha detto...

"Il procedimento usato da Mousse è un'applicazione molto spinta della parola valigia (o meglio portmanteau word, essendo il portmanteau un tipo particolare di valigia), oppure parola macedonia, chiamato da alcuni enigmisti, forse anche da te, "doppio scarto centrale". In linguistica è detto aplologia, ma Cardona ha cercato di proporre la metafora mineralogica "drusa"."

eh?! :-)

Jotar ha detto...

Io sapevo che il periodo più critico era quello che intercorreva tra l'annuncio della falla e il rilascio dell'apposita patch. Perché i truffatori venivano allertati dalla presenza della falla e ci si tuffavano a pesce e la sfruttavano.
Per cui, ben venga una sana prudenza nel rilasciare informazioni così sensibili senza prima aver risolto il problema. L'importanza della patch va comunicata solo quando viene rilasciata e (secondo me) mai prima.

Anonimo ha detto...

L'avete visto quel tizio a mistero? Il pelato? Che diceva delle cose strane sulle strisce lasciate dagli aerei...

Anonimo ha detto...

Per Elisa,
vuoi vedere che
perderai anche me? (Alice, 1981)


Sei distratta! C'è un articolo apposito: http://attivissimo.blogspot.com/2010/05/mistero-affonda-le-scie-chimiche.html

Anonimo ha detto...

corro a leggerlo grazie...
preferisco beethoven a battiato
A Beethoven e Sinatra preferisco l'insalata. a Vivaldi l'uva passa che mi dà più calorie. ;)

Anonimo ha detto...

@Mousse "Alla peggio, in Windows si ripristina la configurazione precedente, in Mac c'è Time Machine.. argh.. con linux se una patch mi spu**ana tutto come faccio ??"

Sotto linux applichi una patch (da linea di comando) con l'opzione -b, così crei i file di backup e se qualcosa va male torni indietro. C'è anche da dire che
1) difficilmente usi/applichi patch, dato che quando aggiorni il sistema o un software scarichi direttamente i pacchetti compilati completi
2) è abbastanza improbabile spu**ananare un sistema intero applicando una patch.

Anonimo ha detto...

l'ho letto l'articolo che mi hai detto, però non dice nulla su cosa sono le scie chimiche

Anonimo ha detto...

Per Elisa

l'ho letto l'articolo che mi hai detto, però non dice nulla su cosa sono le scie chimiche

Credo che basti l'articolo! :-D
Ma se proprio vuoi approfondire, c'è un sito a parte: La bufala delle scie chimiche. Ecco il link alla prima domanda delle FAQ: http://tinyurl.com/26ex8uk.

Turz ha detto...

@Elisa:
gente a voi che siete esperti, ho appena creato un blog come faccio a fargli pubblicità?

Esattamente come hai fatto ora, solo che se lo fai qui rischi di fare esattamente la stessa figura di m... che ha fatto "skiava" qui.

Anonimo ha detto...

c'è duemila commenti, non penserai davvero che li legga tutti? :) Quindi secondo te basta postare un commento x farsi pubblicità? No è che l'ho aperto ora, solo che non avere nessuno che ti legge è deprimente tutto qua...

Anonimo ha detto...

mi tuffo a pesce sull'articolo perchè sono curiosa... Anche perchè secondo me ci sono modi migliori di spargere veleno... Cioè se davvero volessero farci fuori tutti non basterebbe versarlo nell'acquedotto?

44rivax ha detto...

Le patch servono e ogni sistema operativo non è esente. Faccio uno stage al CNR e posso assicurarvi che anche i Linux le hanno. Però ci sono due cose che vorrei che la M$ facesse:

- far comparire un avviso di quando ci sono gli aggiornamenti

- evitare di fare questo genere di operazioni (patch segrete o quasi) perchè diffonde una cattiva immagine

Ciao!

Anonimo ha detto...

linux non è esente da pecche? vero. Però intanto qualitativemente è superiore, ed eventuali falle vengono turate in tempi decisamente più brevi rispetto alla concorrenza. Inoltre il centro aggiornamenti mi controlla se ci sono aggiornamenti disponibili per TUTTI i pacchetti non solo per il S/O il che è un bel vantaggio...
Paolo, quando vieni a Limite? Non al limite delle tue possibilità ma a Limte sull'Arno (provincia di FI), ah e non rispondere "quando mi invitano" perchè nella domanda l'invito è implicito ;)

Il Lupo della Luna ha detto...

In realtà gli aggiornamenti di Windows si estendono anche ad altre applicazioni Microsoft installate (ad esempio Office o il pacchetto Live). Riguardo agli altri prodotti generalmente ogni pacchetto "importante" controlla la presenza di aggiornamenti.

Ad esempio, OpenOffice all'avvio verifica se ci sono nuove versioni disponibili. Si non è esattamente un sistema di patch, ma ci si avvicina.

Sotto Windows comunque ci sono dei tool gratuiti tipo UpdateStar o altri che fanno un controllo delle versioni dei programmi installati e propongono i link a cui scaricarli. Altri a pagamento non solo propongono i link ma scaricano addirittura i programmi aggiornati e li installano.

Soluzioni interessanti, ma continua a sembrarmi meglio una cosa tipo Aptitude... improponibile temo al di fuori di Linux.

44rivax: l'avviso c'è già, mi pare l'impostazione standard sia "scarica gli aggiornamenti e avvisa prima di installare. Io personalmente ho messo una richiesta di notifica prima del download: quando mi appare il popup vado a cliccare per vedere cosa vorebbe installare, fermo restando che dovrebbe dirmi precisamente cosa aggiorna.