Natale, Microsoft non fa regali

Le prossime release di sicurezza di Microsoft arriveranno a gennaio. A Natale i cracker non sono più buoni ma per garantire patch efficaci ci vuole tempo - UPDATED


Redmond (USA) – Questo mese Microsoft non rilascerà alcun aggiornamento di sicurezza. Il big di Redmond si è detto ancora impegnato a investigare su alcune recenti vulnerabilità, fra le quali vi sono molto probabilmente quelle riportate lo scorso mese dalla società di sicurezza Secunia .

“È una bella coincidenza, ma non ha alcuna relazione con il Natale”, ha commentato Iain Mulholland, security program manager di Microsoft. “Ci siamo impegnati a rilasciare il pacchetto mensile di aggiornamenti solo quando saremo pronti, quando avremo delle patch di qualità. Per il momento non abbiamo semplicemente nulla che, sotto il punto di vista qualitativo, possa essere rilasciato entro la fine di questo mese”.

Mulholland ha sottolineato come la propria azienda sia ora maggiormente focalizzata sulla qualità delle correzioni piuttosto che sulla tempistica. Nonostante questo, l’esperto di Microsoft ha affermato che in caso di “una minaccia reale e immediata” il proprio team è pronto ad intervenire, eventualmente rilasciando una patch temporanea.

Lo scorso ottobre Microsoft ha adottato per gli update di sicurezza un ciclo dei rilasci su base mensile , una strategia che ha principalmente lo scopo di semplificare la gestione degli aggiornamenti da parte degli utenti e degli amministratori di sistema: il più grande vantaggio, secondo il colosso, è che i clienti possono scaricare un solo pacchetto cumulativo (chiamato “rollup”) al posto delle singole patch.

L’ultimo pacchetto rollup è stato rilasciato la scorsa metà di novembre e, secondo i piani di rilascio di Microsoft, il prossimo sarebbe dovuto arrivare la seconda settimana di dicembre. Il nuovo rollup è invece slittato al 13 gennaio, data entro cui Microsoft prevede di aver ultimato lo sviluppo e il test delle nuove patch.

Nonostante le festività siano ormai alle porte, gli esperti di sicurezza non hanno abbassato la guardia. Negli scorsi giorni la società Core Security Technologies (CST) ha avvertito del fatto che una recente falla nel servizio Workstation di Windows 2000 e XP potrebbe essere sfruttata da worm simili al prolifico e devastante SQL Slammer .

Nonostante Microsoft abbia corretto la falla lo scorso mese, CST sostiene che “la vulnerabilità è persino più pericolosa e critica del previsto” e questo perché “le soluzioni al problema proposte da Microsoft nel suo bollettino non sono sufficienti a chiudere completamente la falla”. La società di sicurezza ha però dovuto ammettere che la patch è in grado di prevenire gli attacchi fino ad oggi conosciuti.

Update (ore 11,30): in apparente contraddizione con le affermazioni di ieri, nelle scorse ore Microsoft ha rilasciato una patch di sicurezza che corregge una vulnerabilità nelle estensioni di FrontPage annunciata in un bollettino dello scorso mese. Microsoft sta investigando su come e perché lo stesso aggiornamento sia stato rilasciato due volte.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    super ie non centra.
    e possibile che ogni buco e colpa di ie, lo uso da una vita e mai un problema, se i signori della yahooooo non sanno produrre del buon sw perche darne colpa ad ie, inoltre se il problema fosse di ie ci sarebbe un avviso di sicurezza con relativa patch, a me non sembra di averne letta nessuna.e ovvio che se l'utontone si mette a pasticciare con le policy di sicurezza di ie allora tutto e possibile.comunque a tutti gli utonti per essere sicuri antivirus attivo e in autoaggiornamento, firewall attivo (quello di default di winxp e già troppo) e non avete nessun problema.
  • Anonimo scrive:
    La colpa e' sempre di IE non di Yahoo
    La vulnerabilita' in questione, parliamoci chiaro, dipende sempre e solo dal solito browser untore.Si possono scrivere script che fanno le stesse operazioni di intrusione nei dati personali per qualunque sito di webmail, non solo su yahoo.Basta avere il solito schifoso browser che esegue tutte le porcate che gli script gli dicono di eseguire e tanti saluti.Io uso Yahoo mail dal secolo scorso e non ho mai avuto problemi di questo tipo.Il mio browser non esegue assolutamente niente senza la mia autorizzazione preventiva.
  • Anonimo scrive:
    Anche a me una volta è capitato
    Ho cliccato sul tasto "rubrica" per inserire una nuova e-mail nella mia rubrica è mi sono comparsi una marea di indirizzi e-mail ordinati alfabeticamente, probabilmente l'intero database di indirizzi e-mail :|Sono tornato alla mail in arrivo, e subito dopo alla rubrica... ma finalmente c'erano solo i miei contatti :DPer fortuna i miei dati non sono così compromettenti ;)
  • Anonimo scrive:
    Il discorso non quaglia, e e' incompleto
    "Secondo la società che ha scoperto il problema, Finjan Software, un aggressore avrebbe potuto sfruttare la falla per inviare agli utenti del servizio di Yahoo! una e-mail che, una volta aperta, poteva lanciare in automatico uno script malevolo"Va bene, ma con quali browsers ? Probabilmente IE.Con quali livello di sicurezza ? Sicuramente basso.Con un IE a livello di protezione basso, e' possibile fare qualunque cosa da una pagina web che accetta l'esecuzione di oggetti ActiveX (ma NON con le Applet Java -a meno che non si usi la VM di MS-, quindi ne DEDUCO che il problema e' dei SOLI utenti windows, ma questo l' autore lo ha inavvertitamente omesso)." in grado di sottrarre un certo numero di dati sensibili dell'utente, come password e numeri di carte di credito. "Questo non va bene. E' come dire che i dati delle carte di credito stanno sempre nella medesima locazione, o come dire che gli utenti stanno tutto il giorno a inserire dati di carte di credito...."Con questo attacco un cracker poteva anche riuscire, in taluni casi, a cancellare dei file memorizzati sul disco fisso della vittima."Si, ma normalmente lo puo' fare solo se ne conosce preventivamente la locazione su disco."Il codice dello script poteva essere scritto in vari linguaggi di scripting, fra cui Java, JavaScript, VB Script e Active X.Tralasciamo il fatto che Java e ActiveX NON sono linguaggi di scripting, mente Javascript e VBScript lo sono.Impossibile fare danni con il solo scripting (a meno di vulnerabilita' specifiche del singolo browser, ma quale browser ?). Tramite lo scripting viene lanciato un ActiveX o un Applet Java malevolo, ma non esistono Applet Java malevoli, a meno di vulnerabilita' della VM, ma qui i problemi sono solo della VM di MS, quindi ne deduco ancora che il problema affigge i soli utenti Windows: perche' l'articolo non lo dice ?"Yahoo! afferma ora di aver intrapreso tutte le contromisure necessarie per bloccare, all'interno delle e-mail HTML, la stragrande maggioranza degli script che potrebbero mettere in pericolo la sicurezza e la privacy dei propri utenti."Cioe' ha bloccato i tag e gli script che richiamano oggetti ActiveX o Applet ? Strano che non ci abbiano pensato anni fa ...Il succo del discorso e' questo: se si potessero fare le cose citate nell'articolo con qualsiasi browser e con qualunque OS, il problema non sarebbe solo di Yahoo, ma di tutti i siti Internet che visualizzano pagine customizzate dagli utenti (tipo le email di Yahoo).Per fortuna non e' cosi'.GM
Chiudi i commenti