Vai al contenuto
Gara: Firefox, IE8, Safari bucati in pochi secondi

Gara: Firefox, IE8, Safari bucati in pochi secondi

Browser colabrodo bucati: dei tre grandi non si salva nessuno, neanche IE8

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Anche quest’anno si tiene a Vancouver il CanSecWest, una conferenza annuale sulla sicurezza informatica che include una gara, chiamata Pwn2Own e organizzata dalla società di sicurezza informatica Tipping Point, che invita i concorrenti a prendere il controllo da remoto di un computer pienamente aggiornato agendo esclusivamente attraverso il suo browser. Chi ci riesce si porta a casa il computer posseduto e un premio in denaro.

E’ andata malissimo. Il ricercatore di sicurezza Charlie Miller ha ripetuto il successo dell’anno scorso (segnalato qui): in una manciata di secondi è riuscito a entrare in un MacBook Apple dotato di tutte le patch di aggiornamento semplicemente inducendo l’utente del MacBook a cliccare su un link visualizzato in una pagina Web tramite il browser Safari. Si è portato così a casa il MacBook e 10.000 dollari, come da regolamento.

In cambio, la Tipping Point acquisisce i diritti sulla falla e sulla tecnica utilizzata per sfruttarla e si coordinerà con Apple per il rattoppo. I dettagli della tecnica verranno pubblicati solo quando sarà pronto l’aggiornamento che tura la vulnerabilità.

Anche il nuovissimo Internet Explorer 8 di Microsoft non ha resistito. Un ricercatore che si è identificato soltanto come Nils ha ripetuto lo stesso tipo di attacco contro Windows 7, che include IE8, e si è portato a casa il Sony Vaio che aveva bucato e un po’ di dollari, sotto gli occhi probabilmente lucidi del team di sicurezza di Microsoft.

Nils è poi riuscito a bucare Safari e Firefox, completando la terna delle umiliazioni. Dopo il primo giorno di gara, soltanto Chrome (il browser di Google) era imbattuto.

Non c’è insomma da stare tranquilli, a prescindere dal sistema operativo che usate: molti pensano che il Mac sia invulnerabile, ma la realtà è che anche un Mac può essere violato semplicemente convincendo l’utente a visitare un sito-trappola. Per questo siete voi la prima linea di difesa del vostro computer.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Firefox 3.0.6 elimina 6 bachi, 1 critico; IE idem

Firefox 3.0.6 elimina 6 bachi, 1 critico; IE idem

Aggiornate il vostro Firefox e turate le falle; preparatevi a fare lo stesso per Internet Explorer

Dovreste essere già a posto grazie alla funzione di aggiornamento automatico di Firefox, se usate questo popolare programma di navigazione, ma controllate di avere la versione 3.0.6, disponibile anche in italiano per Mac, Windows e Linux, che rimedia sei vulnerabilità di sicurezza, una delle quali è considerata “critica” perché Firefox poteva crashare in un modo che poteva permettere ad un aggressore di sfruttare il crash per eseguire il proprio codice sul computer della vittima. L’elenco completo delle falle di sicurezza turate è disponibile qui. E’ il sesto aggiornamento di Firefox in sei mesi.

Se nel mondo open source di Firefox si va avanti a produrre rattoppi, anche in casa Microsoft è ora di sistemare falle: secondo Zdnet, nel consueto pacchetto mensile di aggiornamenti, previsto per martedì prossimo (10 febbraio), ci saranno correzioni per quattro falle classificate come “critiche” e riguardanti vulnerabilità di Internet Explorer e di Microsoft Exchange Server. Altre falle turate, definite “importanti”, riguarderanno SQL Server e Office.

Lo so, scaricare e installare è una scocciatura, ma è indispensabile per mantenere alte le difese, e Firefox e Microsoft fanno di tutto per rendere automatico e indolore il procedimento. Non cincischiate, e se non siete responsabili della sicurezza del vostro computer, assicuratevi che chi lo è si tenga al passo con gli aggiornamenti o abbia delle validissime ragioni per non farlo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Browser colabrodo, rattoppi per tutti

Browser colabrodo, rattoppi per tutti

Pezza d’urgenza per Internet Explorer, ma anche le alternative non sono da meno

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Internet Explorer si è da poco meritato una patch d’urgenza, al di fuori del ciclo mensile consueto, per una vulnerabilità descritta da Repubblica con un titolo da panico (“Una falla in Internet Explorer mette a rischio milioni di utenti”) appiccicato a un articolo in realtà molto chiaro, sensato e corretto. Speriamo che il felice trend di far scrivere d’informatica a chi ne capisce (in questo caso Alessandro Longo) prosegua e si estenda ad altri argomenti. E ad altre testate. Sarebbe una vera rivoluzione.

Paradossalmente, il clamore suscitato da articoli nei media generalisti, come quello di Repubblica (ci si è messa anche la BBC) ha messo in agitazione numerosi utenti al punto che non si sono resi conto che questi allarmi sono nel frattempo diventati obsoleti, perché Microsoft ha appunto rilasciato un aggiornamento straordinario per turare questa falla in grado di rubare password e dati personali. Non c’è affatto bisogno di aspettare il 9 gennaio prossimo, come dice per esempio l’articolo di Longo (scritto martedì 16, appena un giorno prima del rilascio della patch). E’ già pronto da mercoledì scorso e il vostro computer probabilmente l’ha già installato.

L’aggiornamento di Internet Explorer viene infatti scaricato e installato automaticamente, se non avete bloccato in qualche modo Windows Update (accessibile tramite il Pannello di Controllo di Windows oppure sotto il menu Strumenti in Internet Explorer). A partire dal riavvio successivo di Windows, la falla di IE, presente nelle versioni 5, 6, 7 e 8, è turata (le prime segnalazioni davano come vulnerabile solo la versione 7, ma sono state corrette). Quindi non ignorate, come fanno tanti, il fumetto che vi dice che ci sono aggiornamenti e seguite invece le sue istruzioni. Fine della storia.

La decisione di Microsoft (qui il bollettino di sicurezza) è stata atipica, dato che a parte la pezza d’urgenza di ottobre l’ultima patch di questo genere risale a un anno e mezzo fa, ma necessaria. La falla era stata sfruttata inizialmente soltanto dai siti meno rispettabili della Rete (warez e porno, prevalentemente su domini cinesi), ma stava cominciando a fare capolino anche in siti più seri, le cui difese erano state violate. Il bilancio dei siti infetti era arrivato ad almeno 233.000 il 17 dicembre: al momento in cui scrivo, la stringa ardoshanghai.com/s.js, una di quelle presenti nei siti contaminati, risulta in Google oltre 281.000 volte. Un elenco parziale di siti compromessi è presso Shadowserver.

L’utente non doveva fare nulla di apparentemente rischioso: bastava che visitasse uno di questi siti infetti. Una brutta storia: non sorprende che Microsoft abbia distribuito la patch di corsa, otto giorni dopo le prime segnalazioni di questo pericolo. Sorprende invece che ci siano così tanti webmaster incapaci di fare questa semplice ricerca in Google (o questa) per sapere se il loro sito è stato infettato.

Sia Google, sia i principali antivirus, comunque, offrono già un avvertimento per difendere gli utenti da queste trappole.

Se IE piange, le alternative non ridono

Gli utenti di browser alternativi non hanno vita molto più facile: Mozilla ha distribuito di corsa le versioni 3.0.5 e 2.0.0.19 di Firefox per rattoppare due altre serie di falle critiche e ha avvisato gli utenti della versione 2 di Firefox che non ci saranno altri aggiornamenti di questa versione (salvo uno, come potete leggere nei commenti qui sotto) e che pertanto è opportuno che passino alla versione 3. Come Internet Explorer, anche Firefox ha l’aggiornamento automatico e quindi dovreste essere già a posto.

Ci sono rattoppi anche per Opera, che per questo motivo ha pubblicato da poco la versione 9.63, come descritto presso Opera.com. Anche in questo caso, l’aggiornamento è automatico.

Fonti: F-Secure, The Register, The Register, Secunia

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Safari 3.1, Internet Explorer 8, Firefox 3 (beta)

Safari 3.1, Internet Explorer 8, Firefox 3 (beta)

Nuove versioni per i principali browser

Apple ha presentato la nuova versione di Safari, la 3.1, disponibile per Mac OS X (naturalmente) e per Windows qui. Come tutti gli altri concorrenti, promette di essere il più bello e il più veloce.

Una delle nuove funzioni più interessanti è la possibilità di ridimensionare le caselle di testo, che spesso sono troppo piccole (per esempio quelle per i commenti di Blogger, come mostrato qui accanto).

C’è qualche polemica intorno alla versione Windows, perché viene installata automaticamente a chiunque usi iTunes, e questo sa un po’ di concorrenza sleale. E’ anche vero che la versione precedente di Safari per Windows era una mezza schifezza inguardabile e bacata, per cui correggere automaticamente la gaffe è quasi un dovere. Ma imporla è una scelta commercialmente delicata.

Anche zio Bill non se ne sta con le mani in mano: ha presentato Internet Explorer 8 beta 1, per Windows XP SP2 e Vista. Essendo classificato come beta, non è ancora pronto formalmente per l’uso in ambienti di produzione, ma è scaricabile gratuitamente per collaudarlo. Fra le novità, vale la pena di citare un sistema di recupero automatico delle pagine Web in caso di crash (IE riparte da dove eravate, insomma, come fanno già altri browser) e un sistema visivamente più intuitivo per segnalare all’utente i siti-trappola usati dai truffatori della Rete.

Cosa più importante, rispetto al passato Internet Explorer 8 è più compatibile con gli standard veri di Internet, invece di tentare di imporre i propri (avete presente i famigerati siti “ottimizzati per Internet Explorer”? Appunto). Il problema è che deve liberarsi dei retaggi d’incompatibilità precedenti, per cui IE8 visualizza le pagine Web in modo diverso da IE7 (la versione attuale), che a sua volta le visualizza diversamente da IE6. Chi ha realizzato pagine Web utilizzando le particolarità di IE6 e IE7 avrà parecchie grane da sistemare, insomma.

Per finire la terna, è stato rilasciato anche Firefox 3, in versione beta 4. E’ disponibile per Windows, Mac OS X e Linux; oltre a una veste grafica radicalmente semplificata e ripulita, offre una funzione molto comoda per chi deve catturare schermate di siti da mostrare per esempio nei blog: lo zoom di tutto il contenuto della pagina. Invece di ridurre soltanto le dimensioni del testo, come nelle versioni precedenti, Firefox 3 rimpicciolisce proporzionalmente tutto, immagini comprese, come vedete qui accanto.

La versione 3 beta 4 sembra molto stabile ed è decisamente meno avida di memoria rispetto alla versione 2 attualmente offerta come versione di produzione, ma ha il difetto che molte delle estensioni o add-on (utili per ampliare o personalizzare il funzionamento del browser) sono per ora incompatibili. Se lo provate, fate attenzione.


Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.