Internet Explorer – Attivissimo.me

Usate ancora Internet Explorer? Meglio smettere

2020-01-24
di Paolo Attivissimo
browser, falle di sicurezza, Internet Explorer, Microsoft, ReteTreRSI

Lo so che sembra il classico annuncio-bufala che gira nelle catene di Sant’Antonio, ma stavolta è vero che Microsoft ha pubblicato un avviso che segnala un difetto importante nella sicurezza di Internet Explorer (CVE-2020-0674), che permette a un aggressore di prendere il controllo del computer della vittima, per esempio installando programmi, leggendo i dati oppure cambiandoli o cancellandoli.

L’attacco richiede soltanto che la vittima venga indotta a visitare un sito Web appositamente confezionato.

Il difetto al momento non ha un rimedio sotto forma di aggiornamento correttivo, ma Microsoft dice che ci sta lavorando. L’azienda precisa inoltre di aver già rilevato casi di attacco mirato che sfruttano questa falla.

La soluzione, per il momento, è semplice: non usare Internet Explorer per accedere a siti Internet e sostituirlo con qualunque altro browser, come Firefox, Google Chrome, Opera o Edge della stessa Microsoft.

Aggiornamento d’emergenza per Internet Explorer

2018-12-21
di Paolo Attivissimo
aggiornamenti software, Internet Explorer

Se usate Internet Explorer, aggiornatelo appena possibile: Microsoft ha rilasciato due giorni fa un aggiornamento d’emergenza per correggere una falla, la CVE-2018-8653, che consente di infettare il computer che usa IE non aggiornato semplicemente convincendo l’utente a visitare un sito infetto, per esempio mandandogli la classica mail “clicca qui per vincere un iPhone” o “ci devi dei soldi, clicca qui per vedere la fattura”.

Gli attacchi che sfruttano questa vulnerabilità sono già in corso, per cui non è il caso di aspettare ad aggiornare Internet Explorer con la vostra consueta procedura di aggiornamento, che di solito consiste nel lanciare Windows Update.

In alternativa, potete usare un altro browser, come Google Chrome, Firefox, Opera o Safari.

Fonte aggiuntiva: The Register.

Malware nelle pubblicità su siti popolarissimi: un adblocker diventa un antivirus

2016-12-09
di Paolo Attivissimo
adblocker, Adobe, aggiornamenti software, Flash, Internet Explorer, Javascript, pubblicità, ReteTreRSI

Usare un adblocker è sempre controverso, perché bloccare le pubblicità significa togliere ai siti la loro fonte di sussistenza. Ma il mondo delle pubblicità online ha grossi problemi, perché viene usato spesso per veicolare attacchi informatici che colpiscono anche i visitatori di siti irreprensibili, e quindi usare un adblocker finisce per essere una forma di protezione informatica.

Le pubblicità, infatti, vengono inserite nei siti usando codice fornito dalle agenzie pubblicitarie, che a loro volta ricevono questo codice dagli inserzionisti. E fra gli inserzionisti si sono intrufolati anche i criminali informatici, che infilano i propri attacchi nel codice pubblicitario. Le agenzie filtrano e controllano, ma le tecniche dei criminali sono davvero ingegnose e superano i controlli.

La società di sicurezza informatica Eset segnala infatti che nel corso degli ultimi due mesi milioni di persone che visitano siti mainstream sono stati colpiti da un attacco nel quale il codice ostile è nascosto addirittura nei parametri che regolano la trasparenza dei pixel di un’immagine legata alle campagne di app chiamate Browser Defence o Broxu.

In sintesi, il Javascript contenuto nel codice dell’inserzione di per sé è pulito, ma scarica un’immagine-banner che contiene variazioni invisibili dei pixel che il Javascript interpreta per estrarne appunto il codice ostile. Questo sistema elude i filtri di sicurezza e infetta gli utenti che usano versioni non aggiornate di Internet Explorer e di Adobe Flash.

Fonti: Malwarebytes, Ars Technica.

Dite addio a Internet Explorer 8, 9 e 10: da martedì prossimo non saranno più supportati da Microsoft

2016-01-08
di Paolo Attivissimo
aggiornamenti software, Internet Explorer, ReteTreRSI, Windows

Martedì 12 gennaio le versioni 8, 9 e 10 di Internet Explorer raggiungeranno la “fine vita” (end of life), ossia non saranno più supportate da Microsoft per quanto riguarda aggiornamenti di sicurezza o correttivi. Chi li usa resterà quindi vulnerabile alle falle note e a quelle che verranno presumibilmente scoperte in futuro.

L’avviso di Microsoft (in italiano) consiglia agli utenti di passare a Internet Explorer 11, “che continuerà a ricevere aggiornamenti della sicurezza, correzioni rapide per la compatibilità e supporto tecnico in Windows 7, Windows 8.1 e Windows 10”.

Chi non segue questo consiglio ma scarica gli aggiornamenti periodici di Microsoft si troverà con un promemoria sullo schermo a partire sempre da questo martedì. L’unica versione di Internet Explorer che resterà supportata è la 11, ma in realtà Microsoft sta spingendo affinché gli utenti abbandonino anche questa in favore del suo nuovo browser, denominato Edge.

Per chi sviluppa software e gestisce sistemi informatici la cessazione del supporto alle vecchie versioni di Internet Explorer, celebri per le loro idiosincrasie e incompatibilità, è probabilmente una buona notizia, perché semplifica il numero di versioni di browser da gestire e offre una giustificazione per andare dal capo e finalmente costringerlo ad aggiornare il software.

Microsoft avvisa: molti siti “ottimizzati per Internet Explorer” vanno riscritti entro 60 giorni

Questo articolo vi arriva grazie alle gentili donazioni di “sbattait” e “posta”.
L’articolo è stato aggiornato rispetto alla sua pubblicazione iniziale.

Tempi duri per chi realizza siti ignorando gli standard ufficiali, quelli del W3C, e ricorrendo invece a funzioni gestite soltanto dal browser più diffuso, Internet Explorer. Come preannunciato a dicembre scorso, Microsoft deve infatti cambiare il modo in cui funziona Internet Explorer e avvisa che molti siti smetteranno improvvisamente di funzionare correttamente con IE se non vengono modificati per tempo.

Il cambiamento è dovuto ai contestati brevetti sul software: Microsoft è infatti coinvolta in una lite legale con la statunitense Eolas Technologies e la University of California a proposito del funzionamento di Internet Explorer con i controlli ActiveX, che secondo Eolas viola il suo brevetto USA numero 5838906.

La causa ha finora visto dare ragione a Eolas, assegnandole un risarcimento di 521 milioni di dollari. Microsoft ha fatto ricorso in appello, ma la causa sta andando male (l’Ufficio Brevetti USA ha confermato la validità del brevetto di Eolas), per cui Internet Explorer va cambiato.

Come previsto, i brevetti software fanno più danni alle grandi aziende che li hanno tanto voluti di quanti ne facciano al sofware libero.

Entro 60 giorni al massimo, riferisce Eweek, i gestori dei siti Web che usano controlli ActiveX, animazioni Flash e applet Java devono riscrivere i propri siti, altrimenti questi componenti richiederanno all’utente di essere attivati ogni volta, rendendone scomodissimo l’uso.

Le nuove regole, preannunciate sin da dicembre scorso e rese disponibili come download opzionale a fine febbraio 2006, entrano in vigore reversibilmente con la patch del prossimo 11 aprile e diventano permanenti ed obbligatorie a giugno 2006.

In pratica, chi ha gli aggiornamenti automatici di Windows e usa Internet Explorer si troverà improvvisamente incasinato il funzionamento di tutti i siti che non hanno provveduto per tempo a sistemarsi.

Lo spiegone di Microsoft è nel blog del Microsoft Security Response Center.

Nuova megafalla Internet Explorer: insomma, la smettete di usare (e imporre) IE?

Questo articolo vi arriva grazie alle gentili donazioni di “isanera” e “oricciardi”.

Credit: NiskArtNet.

Da fine marzo è in corso un nuovo attacco contro gli utenti di Internet Explorer, ai quali basta visitare un sito per essere infettati. Il problema è che gli aggressori hanno alterato anche siti fidati e sfruttano una falla di Internet Explorer per la quale Microsoft non ha ancora rilasciato una correzione. Per il momento, l’unico rimedio è usare la tecnica consigliata da sempre: sostituire Internet Explorer con qualsiasi altro programma analogo, per esempio Opera o Firefox.

Secunia definisce “estremamente critica” la falla, catalogata formalmente come CVE-2006-1359, e indica che ne sono affette tutte le versioni recenti di IE, dalla 5.01 in su fino alla versione-anteprima di Internet Explorer 7 (Beta 2 Preview) rilasciata da zio Bill a gennaio.

La falla nasce da un errore nella gestione della chiamata “createTextRange()” in IE. Non richiede alcuna interazione dell’utente con il sito ostile: è sufficiente visitarlo con Internet Explorer.

Microsoft dice che la pezza di correzione verrà rilasciata insieme alle altre correzioni nel solito aggiornamento mensile, previsto per l’11 di aprile, ma potrebbe essere rilasciata anche prima se necessario. Inoltre afferma che la versione di IE7 Beta di marzo non è affetta dalla falla.

In attesa del rilascio della correzione, Microsoft consiglia di configurare IE in modo che faccia comparire una richiesta di conferma prima di eseguire istruzioni di Active Scripting, oppure di disabilitare l’Active Scripting nelle zone Internet e Locale; consiglia inoltre di impostare i livelli di sicurezza ad “Alta” per l’Active Scripting in queste zone.

Le istruzioni sono qui in inglese; può darsi ci sia una versione italiana, ma mi sembra un procedimento molto macchinoso che oltretutto rende scomodissima la navigazione nei siti che (poco furbamente) usano l’Active Scripting: meglio tagliare la testa al toro e passare a un programma alternativo, come appunto Firefox o Opera (cosa che ovviamente zio Bill non osa consigliarvi).

Se per qualsiasi motivo dovete restare fedeli a Internet Explorer e non potete disattivare l’Active Scripting, potete valutare le correzioni temporanee a questa falla offerte da Determina, Eeye e Websense (ma non approvate da Microsoft).

La BBC riferisce che sono oltre 200 i siti che tentano di infettare gli utenti usando questa falla. Casi come questo mostrano quanto sia irresponsabile l’atteggiamento dei siti che impongono l’uso di Internet Explorer “per motivi di sicurezza”.

Falla di sicurezza in Internet Explorer: Microsoft rilascia la correzione anche per Windows XP

2014-05-02
di Paolo Attivissimo
aggiornamenti software, Internet Explorer, ReteTreRSI, Windows XP

Pochi giorni fa è stata annunciata una grave vulnerabilità in Internet Explorer (tutte le versioni, dalla 6 alla 11) che veniva già sfruttata attivamente dai criminali informatici, tanto da spingere varie autorità nazionali di sicurezza a diramare inviti a usare browser alternativi, come Chrome o Firefox. È già pronto l’aggiornamento che la corregge: scaricatelo e installatelo subito. Il modo più semplice è andare al Pannello di Controllo e avviare Windows Update.

La raccomandazione vale anche per gli utenti di Windows XP: Microsoft ha infatti fatto dietrofront sul suo intento, annunciato da più di un anno, di non fornire più aggiornamenti per Windows XP a partire dai primi di aprile scorso e ha rilasciato questa correzione anche per chi usa ancora questo sistema operativo. Si tratta però di un’eccezione, per cui non è il caso di fare affidamento sulla speranza che Microsoft continui a rilasciare aggiornamenti anche per XP. Conviene passare a una versione di Windows che sia ancora formalmente supportata da Microsoft.

Purtroppo questa decisione di Microsoft creerà confusione: chi si occupa di sicurezza aziendale ha spesso litigato con i dirigenti per avere i fondi necessari per abbandonare XP e li ha convinti facendo notare che il supporto a XP sarebbe finito inesorabilmente. Adesso quei dirigenti avranno una scusa in più per dire che quello che annunciavano i tecnici era un falso allarme e restare fermi a una versione di Windows ormai obsoleta. D’altra parte, lasciare senza protezione un utente Web su tre sarebbe stato un rischio d’immagine inaccettabile per Microsoft.

Fonti aggiuntive: Sophos, Ars Technica, Technet.com.

Usate Internet Explorer con Flash? Male. Usate anche XP? Peggio

2014-05-02
di Paolo Attivissimo
falle di sicurezza, Flash, Internet Explorer, Microsoft

C’è una vulnerabilità massiccia in Internet Explorer (tutte le versioni, dalla 6 alla 11) che, se combinata con Adobe Flash (come fanno in molti), consente a un aggressore di eseguire codice a piacere sul computer della vittima. La falla viene già sfruttata attivamente dagli aggressori informatici.

Chi usa Windows XP non riceverà mai nessun aggiornamento correttivo: gli altri lo riceveranno non appena Microsoft lo distribuirà. I dettagli sono su SiamoGeek e nel bollettino di Microsoft.

Questa, per quel che mi risulta, è la prima grande falla che viene resa nota e sfruttata concretamente dopo il termine del supporto di aggiornamento a Windows XP all’inizio di questo mese. Non dite che non eravate stati avvisati.

2014/05/02: Mai dire mai. Microsoft ha cambiato idea e ha incluso anche XP nell’aggiornamento di sicurezza che risolve questa falla.

Disinformatico radio, il podcast di oggi

2014-03-10
di Paolo Attivissimo
Android, antibufala, browser, Facebook, Firefox, Internet Explorer, radio, sicurezza, stampanti 3D

Il podcast della puntata di stamattina del Disinformatico radiofonico è pronto da scaricare. Prima che me lo chiediate: non c’è un podcast della settimana scorsa (1 marzo) perché la trasmissione ha saltato una settimana.

In questa puntata ho parlato di questi argomenti (i link portano ai rispettivi articoli con i dettagli) e anche di Dita Von Teese che ha presentato il primo vestito stampato con una stampante 3D:

Aggiornamento: Sembra che quello indossato dalla Von Teese non sia il primo vestito stampato con stampante 3D in assoluto. C’erano già questi, se si possono chiamare “vestiti”. Resta comunque una demo interessante (anche senza la Von Teese in questione).

Aggiornamenti urgenti per Flash Player e Internet Explorer 9 e 10; Windows XP sta per scadere

2014-02-22
di Paolo Attivissimo
aggiornamenti software, Flash, Internet Explorer, Microsoft, ReteTreRSI, sicurezza informatica, Windows XP

Ci risiamo: è già ora di scaricare e installare un nuovo aggiornamento di sicurezza di Flash Player che tura una falla critica già utilizzata per attacchi informatici in Rete che hanno effetto su Windows, Mac e Linux. L’aggiornamento precedente risale soltanto a due settimane fa. L’avviso ufficiale di Adobe, pubblicato ieri, fornisce tutti i dettagli tecnici.

Per sapere se siete aggiornati, visitate questa pagina di Adobe con il vostro browser (o con ciascuno dei browser che usate): dovreste vedere l’indicazione che avete la versione 12.0.0.70 di Flash (per Linux la versione deve essere la 11.2.202.341). Se vedete un numero differente e inferiore, avete bisogno di aggiornarvi. Se usate Chrome o Internet Explorer 10 e 11, riavviateli e ricontrollate se siete aggiornati: questi due browser, infatti, scaricano automaticamente gli aggiornamenti e hanno solo bisogno di un riavvio per attivarli.

Se usate altri browser, potete scaricare manualmente l’aggiornamento andando alla pagina di download di Adobe e seguire le istruzioni che trovate lì. Dopo che avete installato l’aggiornamento, ricontrollate la situazione visitando di nuovo la pagina di test di Adobe.

Evitate, come sempre, i falsi aggiornamenti: adesso ne circola uno per Android che addirittura si fa pagare per l’aggiornamento, che in realtà è gratuito.

Se usate Internet Explorer 9 o 10, inoltre, c’è un bollettino di sicurezza Microsoft che segnala una falla in queste due versioni del browser. Il consiglio di Microsoft è di aggiornare Internet Explorer (usando Windows Update) e poi scaricare e installare questa correzione temporanea.

Fra l’altro, se siete ancora utenti di Windows XP, tenete presente che tra un mese e mezzo termina il supporto tecnico (Extended Support) da parte di Microsoft. Non ci saranno più aggiornamenti o correzioni di sicurezza: se ci sono falle, ve le tenete. È tempo di passare a un sistema operativo più recente.

daryl su Podcast RSI – Dietro le IA c’è manodopera africana sfruttata
Il punto che poni sul costo umano del data labeling è legittimo: molti non ci pensano, e parlarne è utile.…
Paolo Attivissimo su Podcast RSI – Arriva Sora, il ChatGPT dei video, ed è caos
In che senso? Fra l'altro, è inesatto. Non è il primo anello che determina la forza di una catena. È…
Paolo Attivissimo su Podcast RSI – Dietro le IA c’è manodopera africana sfruttata
Daryl, prima di questo articolo avevi mai considerato il problema del costo umano del data labeling? Perché la mia critica…
Paolo Attivissimo su Podcast RSI – Dietro le IA c’è manodopera africana sfruttata
L'ho spiegato nel mio libro "Moon Hoax: Debunked!": I’m British, but I’ve used US English spelling rules in the book…
daryl su Podcast RSI – Dietro le IA c’è manodopera africana sfruttata
ancora IA.... Ciò che hai scritto, Paolo,è forte sul piano emotivo, meno solido su quello logico. Perchè parti da problemi reali,…
Grip su Podcast RSI – Arriva Sora, il ChatGPT dei video, ed è caos
Una catena è forte come il suo primo anello....
Vinicio su Podcast RSI – Dietro le IA c’è manodopera africana sfruttata
Ciao. Di fronte al nefando argomento, un po' mi vergogno ma sollevo lo stesso questa meschina questione (ahimé sono "sensibile"…
Paolo Attivissimo su Artemis II, ammaraggio previsto per le 2:07 dell’11 aprile: come seguire la diretta
Non tanto l’equipaggio, ma vari membri del progetto Apollo ci pensarono seriamente. Non come bravata all'ultimo secondo: come piano di…
mima85 su Podcast RSI – Dietro le IA c’è manodopera africana sfruttata
Tzè. AI dilettante. L'intelligenza umana è già arrivata da anni allo squavallo xD
PGC New Edition su Artemis II, ammaraggio previsto per le 2:07 dell’11 aprile: come seguire la diretta
ok, ma l'obiettivo di Apollo 11 era di atterrare sulla Luna, quella di Apollo 10 no, e né Cernan né…

Archivi