forum.perlulivo.it

Dal corriere.it :

NTERNET
Il governo tedesco agli utenti:
«Non usate Explorer»
L'allarme: «Mette a rischio la sicurezza del pc». La Microsoft ammette che c'è una falla



Steve Ballmer, presidente MicrosftMILANO - Internet Explorer mette a rischio la sicurezza del pc. È l'allarme lanciato dal governo tedesco che ha invitato gli utenti a utilizzare gli altri browser. Secondo la Bbc, la Microsoft ha ammesso che è stata una falla nel suo browser il punto debole dei recenti attacchi a Google. Il gigante di Redmond si è affrettato a chiarire che, per evitare buchi nella sicurezza del pc durante la navigazione on-line, è necessario impostare le opzioni di protezione del browser su 'alto', nonostante le limitazioni nei siti accessibili. Ma le autorità tedesche hanno avvertito che neppure questo accorgimento renderebbe sicuro Explorer. Graham Cluley, responsabile dell'azienda antivirus Sophos, ha spiegato che le versioni più vulnerabili del browser Microsoft sono 6, 7 e 8. Dalla Microsoft, intanto, hanno fatto sapere che si sta lavorando a un 'update' che risolverà il problema. Inoltre, un portavoce del gruppo in Germania, ha sottolineato che la società non condivide le ragioni dell'allarme lanciato da Berlino (Fonte Agi-Ap)

16 gennaio 2010(ultima modifica: 17 gennaio 2010)

No a Explorer, c'è la Francia
Microsoft: "IE8 è sicuro"
Dopo la Germania, anche un'agenzia governativa transalpina invita a non usare il browser più diffuso nel pianeta. L'azienda di Redmond rassicura ma invita ad essere prudentidal nostro corrispondente ANDREA TARQUINI

BERLINO - Il giallo della minaccia a Internet Explorer continua. Microsoft ha reagito prontamente e ha assicurato che solo le versioni più vecchie del browser più diffuso nel mondo, per esempio la 6, possono essere vulnerabili ad attacchi ostili in ambiente Windows, mentre la versione 8 e quelle più recenti e più diffuse sono sicure. Ma intanto la Certa, un'agenzia governativa francese, si è unita oggi - secondo il sito online dell'autorevole BBC (l'ente radiotelevisivo del Regno Unito) - al monito dell'autorità di controllo tedesca della settimana scorsa, invitando a sua volta gli utenti della rete a non usare Internet Explorer.

La stessa Certa ammette comunque che Internet Explorer 8 è il più sicuro dei browser, ma non giura sulla sua sicurezza assoluta. Microsoft Italia avverte, per bocca di Feliciano Intini, che gli attacchi mirati di hacker e altre entità ostili sono stati condotti solo in casi sporadici, e unicamente contro alcune aziende, utilizzando le vulnerabilità di chi usa ancora le versioni più vecchie di internet explorer, come appunto la 6. Nella sola Italia ben 15 milioni di utenti hanno scaricato Internet explorer 8, il cui il filtro smart screen ha consentito di bloccare 275 milioni di attacchi di malware. Microsoft si appella agli utenti: usate il browser, è sicuro, ma usatelo con le massime condizioni possibili di sicurezza. Usate le istruzioni contenute nel SECURITY ADVISER 979352. Il numero uno mondiale del software precisa anche che è impegnato a fondo a risolvere il problema e a proteggere gli utenti, e che interverrà in tempo reale fornendo soluzioni agli utenti ogni qualvolta queste avranno raggiunto un livello qualitativo abbastanza elevato da essere distribuita a tutti.


Internet Explorer 8, ribattono i francesi di Certa, è molto sicuro ma non esiste la garanzia dell'invulnerabilità assoluta. I rischi più seri sono comunque per chi usa IE 6: può entrarti nel computer un "troian" che rende il pirata informatico padrone del tuo pc e gli consente di scaricare e diffondere a tua insaputa dati sensibili. Secondo Graham Cluley, della Sophos, un'azienda britannica specializzata nella sicurezza dei computer, anche IE 8 non è invulnerabile, e occorre un upgrading costante.

Cosa farà allora il popolo internettiano in tutto il pianeta? Con quali browser potrà navigare sentendosi al sicuro, e non come un bagnante che nuota in mare quando sulla spiaggia sventola la bandiera rossa dell'allarme? Il suggerimento di cambiare browser, dice Cliff Evans, è poco valido: anche gli altri prodotti hanno le loro vulnerabilità, magari in altri punti del loro codice, comunque non c'è assolutamente alcuna garanzia che siano più sicuri di quelli di Microsoft. Quindi attenti a non cedere alla tentazione frettolosa di abbandonare subito Microsoft: i suoi concorrenti magari cavalcano la tigre del caso ma non offrono garanzie migliori.

18 gennaio 2010
www.repubblica.it

Internet Explorer vulnerabile? Che confusione 18.1.10
Attacchi cinesi: Microsoft, solo IE6 è vulnerabile. Governo tedesco e francese, CERT italiano: non proprio

---

www.attivissimo.net
A proposito della mia recente segnalazione della vulnerabilità di Internet Explorer 6-8 che ha spinto il governo tedesco a sconsigliarne temporaneamente l'uso in seguito ad attacchi provenienti dal territorio cinese, Microsoft Italia mi ha contattato offrendosi di chiarire i termini della questione.

Purtroppo il tempo mi è stato tiranno, per cui non ho potuto cogliere subito l'occasione. Ho chiesto qualche informazione scritta, e Microsoft Italia mi ha inviato una nota per la stampa in cui dice che "gli utenti delle recenti versioni di Internet Explorer sono al sicuro".

Gli attacchi, secondo Microsoft, colpiscono solo gli utenti di Explorer 6. Chi usa Internet Explorer 8, la versione più recente di IE, non è "oggetto di attacchi conosciuti e di exploit grazie alle migliorate protezioni di sicurezza".

L'azienda consiglia agli utenti che non hanno ancora aggiornato IE di farlo usando l'ultima versione (che mi pare il minimo per chiunque scelga di usare uno specifico browser), ma in ogni caso la nota non esclude una patch straordinaria rispetto a quelle a cadenza mensile regolare.

La nota segnala anche una pagina di Mclips.it, sito di blogger Microsoft, che offre un video di spiegazione (nel quale si ribadisce che solo IE6 su XP è vulnerabile all'exploit cinese) e parla di "clamore, davvero ingiustificato" intorno alla vicenda.

Il clamore indubbiamente c'è stato e dev'essere risultato piuttosto irritante per l'azienda: è infatti arrivata anche ai media generalisti (Corriere.it) la notizia della raccomandazione tedesca, e lo stesso è avvenuto per l'avviso dell'agenzia governativa francese CERTA, che si associa al consiglio tedesco di usare un browser alternativo in attesa della correzione da parte di Microsoft ("Dans l'attente d'un correctif de l'éditeur, Le CERTA recommande l'utilisation d'un navigateur alternatif").

E' senz'altro valida l'obiezione di Feliciano Intini, Chief Security Advisor di Microsoft Italia, che parte della colpa è delle aziende che hanno continuato a usare browser "paleolitici" e degli utenti che hanno visitato siti-trappola; però a questo punto il messaggio diventa un po' confuso.

E' vero che gli attacchi hanno riguardato bersagli molto precisi, ma ormai il codice dell'exploit sfruttato per questi attacchi è in circolazione e quindi nulla vieta a qualche criminalucolo di adoperarlo su più vasta scala. Quindi la necessità di vigilanza vale per tutti gli utenti e non solo per alcune utenze chiave delle grandi aziende.

Inoltre Microsoft dice ripetutamente nei comunicati che solo IE6 è vulnerabile a quell'exploit e che "gli utenti delle recenti versioni di Internet Explorer sono al sicuro", aggiungendo anche una tabella molto chiara. Ma l'advisory 979352 della stessa Microsoft dice che fra i software colpiti ci sono IE7 per XP e Vista e IE8 in Windows Vista e Windows 7. Idem dicasi per i siti di sicurezza informatica del governo tedesco e di quello francese. Lo stesso Mclips.it linka una segnalazione del CERT italiano che contiene questa frase (evidenziazioni aggiunte): "risulta che soltanto la versione di Internet Explorer 6 sia particolarmente esposta all'exploit rilevato in Rete, mentre le versioni successive funzionanti sui sistemi operativi XP, Vista e SEVEN, risultano vulnerabili unicamente in condizioni difficilmente replicabili per l’utenza comune; le misure di protezione disponibili nelle nuove versioni di Internet Explorer e negli ultimi sistemi operativi Micosroft [sic], sono in grado di mitigare il pericolo derivante da questa vulnerabilità (veggasi bollettino del CERT-SPC)."

"Mitigare", se non erro, non significa "eliminare". Allora qual è la versione giusta? Solo IE6 su XP, o anche altri IE su altri Windows? Spero di avere maggiori chiarimenti domani.

http://attivissimo.blogspot.com/2010/01 ... imedi.html