Disponibile la patch per risolvere il problema di sicurezza di Internet Explorer
di Fabio Boneschi, pubblicata il 22 Gennaio 2010, alle 10:48 nel canale Sicurezza
“Microsoft ha reso disponibile l'aggiornamento che risolve la vulnerabilità di Internet Explorer 6 al centro dell'attenzione negli ultimi giorni. Risolti altri 7 problemi noti”
Notizia Precedente 
Commenti (40)
Commento # 11
di: Spec1alFx
pubblicato il 22 Gennaio 2010, 12:01
pabloski: la tua è un'interpretazione personale dei numeri
Di norma i bug, almeno quelli che hanno una certa importanza, vengono sempre scoperti e tenuti riservati a uso e consumo di chi li sfrutta per i proprio interesse. La conseguenza del loro impiego è l'esposizione: la fai franca all'inizio, ma prima o poi qualcuno si accorge degli effetti e ricercandone le cause si accorge che c'è una falla. Da questo punto a poco diventa pubblica.
Nel contempo però chi si diverte, o campa, in questo modo viene a conoscenza di altre falle che può sfruttare: la ricerca continua è indispensabile per poter sopravvivere, perchè sai benissimo che la vita utile di un singolo bug è quella che è, e sfruttarlo lo accorcia ulteriormente.
Non a caso in questi giorni si parla di un bug presente in Windows da 17 anni. E' rimasto lì a far niente perchè nessuno lo ha sfruttato. Se qualcuno l'avesse fatto, sarebbe già stato chiuso. Non è detto che sempre sia così, ma è molto più facile che venga trovato il difetto dopo che questo si manifesta (in questo caso dopo che qualcuno ne approfitta) piuttosto che prima. Difficile che il meccanico ti trovi il guasto prima che questo non sia manifesto.
Altro parametro da considerare: la diffusione. La diffusione determina attenzione. Se io faccio un browser, beh, i bachi che si troveranno saranno pressochè esclusivamente solo quelli che trovo io. Se iniziano ad usarlo in mille, probabilmente qualcun'altro oltre me inizierà a trovarne. Se inizano ad usarlo tutti, il bugtrack diventerà enorme.
I bachi di Firefox vengono fuori proprio perchè c'è molta più attenzione su di lui rispetto al passato: più pressione => più bachi. Per lo meno fintanto il progetto non diventa stabile.
Qui si introduce un'altra variabile. La stabilità di un progetto. Ci sono progetti open che sono indiscutibilmente validi dal punto di vista della sicurezza perchè sono pressochè fermi nello sviluppo. Se sviluppi crei righe di codice, se c'è nuovo codice ci sono nuovi bachi. Se lo sviluppo è fermo il numero di bachi che andrai a scoprire tenderà allo 0 con il passare del tempo.
In tutto questo poi ovviamente incidono gli standard qualitativi di chi scrive il codice. Al di là dei luoghi comuni, basta informarsi un po' per scoprire che nel caso di Microsoft questi sono molto alti e il codice è verificato in lungo e in largo. Certamente questo non esclude i bachi, ma li riduce notevolmente.
Il punto di forza di Firefox è che sia un'alternativa, e pertanto desti meno interesse a chi scrive malware rispetto a IE; non per una questione di qualità del codice in assoluto. Anche perchè lo sviluppo di Firefox è piuttosto rapido: il rovescio della medaglia è che di bachi ne salteranno sempre fuori.
Di norma i bug, almeno quelli che hanno una certa importanza, vengono sempre scoperti e tenuti riservati a uso e consumo di chi li sfrutta per i proprio interesse. La conseguenza del loro impiego è l'esposizione: la fai franca all'inizio, ma prima o poi qualcuno si accorge degli effetti e ricercandone le cause si accorge che c'è una falla. Da questo punto a poco diventa pubblica.
Nel contempo però chi si diverte, o campa, in questo modo viene a conoscenza di altre falle che può sfruttare: la ricerca continua è indispensabile per poter sopravvivere, perchè sai benissimo che la vita utile di un singolo bug è quella che è, e sfruttarlo lo accorcia ulteriormente.
Non a caso in questi giorni si parla di un bug presente in Windows da 17 anni. E' rimasto lì a far niente perchè nessuno lo ha sfruttato. Se qualcuno l'avesse fatto, sarebbe già stato chiuso. Non è detto che sempre sia così, ma è molto più facile che venga trovato il difetto dopo che questo si manifesta (in questo caso dopo che qualcuno ne approfitta) piuttosto che prima. Difficile che il meccanico ti trovi il guasto prima che questo non sia manifesto.
Altro parametro da considerare: la diffusione. La diffusione determina attenzione. Se io faccio un browser, beh, i bachi che si troveranno saranno pressochè esclusivamente solo quelli che trovo io. Se iniziano ad usarlo in mille, probabilmente qualcun'altro oltre me inizierà a trovarne. Se inizano ad usarlo tutti, il bugtrack diventerà enorme.
I bachi di Firefox vengono fuori proprio perchè c'è molta più attenzione su di lui rispetto al passato: più pressione => più bachi. Per lo meno fintanto il progetto non diventa stabile.
Qui si introduce un'altra variabile. La stabilità di un progetto. Ci sono progetti open che sono indiscutibilmente validi dal punto di vista della sicurezza perchè sono pressochè fermi nello sviluppo. Se sviluppi crei righe di codice, se c'è nuovo codice ci sono nuovi bachi. Se lo sviluppo è fermo il numero di bachi che andrai a scoprire tenderà allo 0 con il passare del tempo.
In tutto questo poi ovviamente incidono gli standard qualitativi di chi scrive il codice. Al di là dei luoghi comuni, basta informarsi un po' per scoprire che nel caso di Microsoft questi sono molto alti e il codice è verificato in lungo e in largo. Certamente questo non esclude i bachi, ma li riduce notevolmente.
Il punto di forza di Firefox è che sia un'alternativa, e pertanto desti meno interesse a chi scrive malware rispetto a IE; non per una questione di qualità del codice in assoluto. Anche perchè lo sviluppo di Firefox è piuttosto rapido: il rovescio della medaglia è che di bachi ne salteranno sempre fuori.
Commento # 12
di: Ntropy
pubblicato il 22 Gennaio 2010, 12:44
Originariamente inviato da: Dott.Wisem
Sto fatto che ogni volta che si applica una patch all'Internet Explorer bisogna riavviare il computer è una palla tremenda... Perché bisogna riavviarlo? Non basterebbe chiudere tutte le istanze aperte di IE (e eventuali applicazioni che sfruttano il suo rendering engine) e ricaricare in memoria le nuove DLL modificate?
E mica è linux
Scherzi a parte ho appena riavviato dopo l'update e dopo tanti anni che uso sia windows che linux, aver programmato in linguaggi differenti linguaggi nonchè aver programmato dll ecc. ecc. ancora non capisco perchè ti obbligano a riavviare a volte anche con update modesti.
Sicuramente i sistemi microsoft non hanno una struttura modulare come linux (kernel, applicazioni e desktop manager separati) ma a volte ho l'impressione che sia un sistema eccessivamente monolitico......
Commento # 13
di: Chiancheri
pubblicato il 22 Gennaio 2010, 13:19
Originariamente inviato da: Spec1alFx
pabloski: la tua è un'interpretazione personale dei numeri
Di norma i bug, almeno quelli che hanno una certa importanza, vengono sempre scoperti e tenuti riservati a uso e consumo di chi li sfrutta per i proprio interesse. La conseguenza del loro impiego è l'esposizione: la fai franca all'inizio, ma prima o poi qualcuno si accorge degli effetti e ricercandone le cause si accorge che c'è una falla. Da questo punto a poco diventa pubblica.
Nel contempo però chi si diverte, o campa, in questo modo viene a conoscenza di altre falle che può sfruttare: la ricerca continua è indispensabile per poter sopravvivere, perchè sai benissimo che la vita utile di un singolo bug è quella che è, e sfruttarlo lo accorcia ulteriormente.
Non a caso in questi giorni si parla di un bug presente in Windows da 17 anni. E' rimasto lì a far niente perchè nessuno lo ha sfruttato. Se qualcuno l'avesse fatto, sarebbe già stato chiuso. Non è detto che sempre sia così, ma è molto più facile che venga trovato il difetto dopo che questo si manifesta (in questo caso dopo che qualcuno ne approfitta) piuttosto che prima. Difficile che il meccanico ti trovi il guasto prima che questo non sia manifesto.
Altro parametro da considerare: la diffusione. La diffusione determina attenzione. Se io faccio un browser, beh, i bachi che si troveranno saranno pressochè esclusivamente solo quelli che trovo io. Se iniziano ad usarlo in mille, probabilmente qualcun'altro oltre me inizierà a trovarne. Se inizano ad usarlo tutti, il bugtrack diventerà enorme.
I bachi di Firefox vengono fuori proprio perchè c'è molta più attenzione su di lui rispetto al passato: più pressione => più bachi. Per lo meno fintanto il progetto non diventa stabile.
Qui si introduce un'altra variabile. La stabilità di un progetto. Ci sono progetti open che sono indiscutibilmente validi dal punto di vista della sicurezza perchè sono pressochè fermi nello sviluppo. Se sviluppi crei righe di codice, se c'è nuovo codice ci sono nuovi bachi. Se lo sviluppo è fermo il numero di bachi che andrai a scoprire tenderà allo 0 con il passare del tempo.
In tutto questo poi ovviamente incidono gli standard qualitativi di chi scrive il codice. Al di là dei luoghi comuni, basta informarsi un po' per scoprire che nel caso di Microsoft questi sono molto alti e il codice è verificato in lungo e in largo. Certamente questo non esclude i bachi, ma li riduce notevolmente.
Il punto di forza di Firefox è che sia un'alternativa, e pertanto desti meno interesse a chi scrive malware rispetto a IE; non per una questione di qualità del codice in assoluto. Anche perchè lo sviluppo di Firefox è piuttosto rapido: il rovescio della medaglia è che di bachi ne salteranno sempre fuori.
Di norma i bug, almeno quelli che hanno una certa importanza, vengono sempre scoperti e tenuti riservati a uso e consumo di chi li sfrutta per i proprio interesse. La conseguenza del loro impiego è l'esposizione: la fai franca all'inizio, ma prima o poi qualcuno si accorge degli effetti e ricercandone le cause si accorge che c'è una falla. Da questo punto a poco diventa pubblica.
Nel contempo però chi si diverte, o campa, in questo modo viene a conoscenza di altre falle che può sfruttare: la ricerca continua è indispensabile per poter sopravvivere, perchè sai benissimo che la vita utile di un singolo bug è quella che è, e sfruttarlo lo accorcia ulteriormente.
Non a caso in questi giorni si parla di un bug presente in Windows da 17 anni. E' rimasto lì a far niente perchè nessuno lo ha sfruttato. Se qualcuno l'avesse fatto, sarebbe già stato chiuso. Non è detto che sempre sia così, ma è molto più facile che venga trovato il difetto dopo che questo si manifesta (in questo caso dopo che qualcuno ne approfitta) piuttosto che prima. Difficile che il meccanico ti trovi il guasto prima che questo non sia manifesto.
Altro parametro da considerare: la diffusione. La diffusione determina attenzione. Se io faccio un browser, beh, i bachi che si troveranno saranno pressochè esclusivamente solo quelli che trovo io. Se iniziano ad usarlo in mille, probabilmente qualcun'altro oltre me inizierà a trovarne. Se inizano ad usarlo tutti, il bugtrack diventerà enorme.
I bachi di Firefox vengono fuori proprio perchè c'è molta più attenzione su di lui rispetto al passato: più pressione => più bachi. Per lo meno fintanto il progetto non diventa stabile.
Qui si introduce un'altra variabile. La stabilità di un progetto. Ci sono progetti open che sono indiscutibilmente validi dal punto di vista della sicurezza perchè sono pressochè fermi nello sviluppo. Se sviluppi crei righe di codice, se c'è nuovo codice ci sono nuovi bachi. Se lo sviluppo è fermo il numero di bachi che andrai a scoprire tenderà allo 0 con il passare del tempo.
In tutto questo poi ovviamente incidono gli standard qualitativi di chi scrive il codice. Al di là dei luoghi comuni, basta informarsi un po' per scoprire che nel caso di Microsoft questi sono molto alti e il codice è verificato in lungo e in largo. Certamente questo non esclude i bachi, ma li riduce notevolmente.
Il punto di forza di Firefox è che sia un'alternativa, e pertanto desti meno interesse a chi scrive malware rispetto a IE; non per una questione di qualità del codice in assoluto. Anche perchè lo sviluppo di Firefox è piuttosto rapido: il rovescio della medaglia è che di bachi ne salteranno sempre fuori.
di bachi su firefox ne vengono scoperti (e corretti) di più sopratutto perchè è opensource. Se lo fosse stato anche IE questo bug si sarebbe già conosciuto da prima, così come il bug che ha creato il caos di qualche giorno fa.
I bug che su IE non vengono scoperti, esistono lo stesso ma semplicemente li conoscono solo: Microsoft e chi li sfrutta. Stop. MAn mano che fanno danno MS se ne accorge.. Finche non ci sono migliaia di persone o aziende colpite se ne fregano.
Il browser più sicuro, paradossalmente, è quello per cui vengono rilevati più bachi e più in fretta. Solo una cosa è certa, tutti i software sono buggati, ma chi può disporre di correzioni veloci e quotidiane è il migliore.
Commento # 14
di: sirus
pubblicato il 22 Gennaio 2010, 13:34
Originariamente inviato da: Ntropy
Scherzi a parte ho appena riavviato dopo l'update e dopo tanti anni che uso sia windows che linux, aver programmato in linguaggi differenti linguaggi nonchè aver programmato dll ecc. ecc. ancora non capisco perchè ti obbligano a riavviare a volte anche con update modesti.
Sono dello stesso avviso.
Originariamente inviato da: Ntropy
Sicuramente i sistemi microsoft non hanno una struttura modulare come linux (kernel, applicazioni e desktop manager separati) ma a volte ho l'impressione che sia un sistema eccessivamente monolitico......
Non ne sono così convinto.
Commento # 15
di: Ntropy
pubblicato il 22 Gennaio 2010, 14:27
Originariamente inviato da: sirus
Non ne sono così convinto.
Non ne sono così convinto.
Ovviamente la mia è solo un ipotesi, non conosco bene la struttura di windows tanto quanto quella si un sistema gnu/linux e quindi non posso valutare alcuni aspetti, ma a rigor di logica IE è o almeno dovrebbe essere un'applicazione e quindi se applico una patch ad IE perchè dovrei riavviare tutto il sistema?
Possibile che IE sia così intimamente legato al s.o. (o meglio al kernel del s.o. per dirla così
tanto da imporre un reboot?
Commento # 16
di: WarDuck
pubblicato il 22 Gennaio 2010, 15:17
Originariamente inviato da: Ntropy
E mica è linux
Scherzi a parte ho appena riavviato dopo l'update e dopo tanti anni che uso sia windows che linux, aver programmato in linguaggi differenti linguaggi nonchè aver programmato dll ecc. ecc. ancora non capisco perchè ti obbligano a riavviare a volte anche con update modesti.
Sicuramente i sistemi microsoft non hanno una struttura modulare come linux (kernel, applicazioni e desktop manager separati) ma a volte ho l'impressione che sia un sistema eccessivamente monolitico......
Scherzi a parte ho appena riavviato dopo l'update e dopo tanti anni che uso sia windows che linux, aver programmato in linguaggi differenti linguaggi nonchè aver programmato dll ecc. ecc. ancora non capisco perchè ti obbligano a riavviare a volte anche con update modesti.
Sicuramente i sistemi microsoft non hanno una struttura modulare come linux (kernel, applicazioni e desktop manager separati) ma a volte ho l'impressione che sia un sistema eccessivamente monolitico......
Beh a me è capitato di riavviare Ubuntu per via degli aggiornamenti (anche se questi non erano relativi al kernel).
Il desktop manager da Vista in poi è in user mode, non più nel kernel, Vista/7 sono molto meno monolitici di XP sicuramente, ovviamente le applicazioni sono in user mode.
Se viene chiesto di riavviare per l'aggiornamento di IE è cmq probabile che il motore di rendering di IE sia in uso da qualcuno o forse è cachato in RAM e dunque si preferisce il reboot.
Commento # 17
di: Sghizz
pubblicato il 22 Gennaio 2010, 15:25
ma io cn w7 x64 non vedo nuovi aggiornamenti, è solo per xp??
Commento # 18
di: shik
pubblicato il 22 Gennaio 2010, 15:36
ma sono quei 9,3 mb che ho visto??? alla facciazza, cos'è, hanno riprogrammato per intero ie?
Commento # 19
di: shik
pubblicato il 22 Gennaio 2010, 15:36
o deve essere un enorme insetto da abbattere
Commento # 20
di: sirus
pubblicato il 22 Gennaio 2010, 15:39
Originariamente inviato da: Ntropy
Ovviamente la mia è solo un ipotesi, non conosco bene la struttura di windows tanto quanto quella si un sistema gnu/linux e quindi non posso valutare alcuni aspetti, ma a rigor di logica IE è o almeno dovrebbe essere un'applicazione e quindi se applico una patch ad IE perchè dovrei riavviare tutto il sistema?
Possibile che IE sia così intimamente legato al s.o. (o meglio al kernel del s.o. per dirla così tanto da imporre un reboot?
Possibile che IE sia così intimamente legato al s.o. (o meglio al kernel del s.o. per dirla così
tanto da imporre un reboot? Credo che la maggior parte dei riavvi richiesti siano facilmente evitabili e non credo che Internet Explorer sia intimamente legato al kernel di Windows.
News
Per contattare l'autore del pezzo, così da avere una risposta rapida, si prega di utilizzare l'email personale (vedere in alto sotto il titolo). Non è detto che una domanda diretta inserita nei commenti venga verificata in tempi rapidi. In alternativa contattare la redazione a questo indirizzo email.