Brian Krebs, cronista del Washington Post, ha pubblicato una relazione sull'esposizione dei browser web agli exploit di vulnerabilità di sicurezza nel corso del 2006. Da quanto emerge, gli utenti Firefox hanno avuto un'esperienza di navigazione molto più sicura con solamente 9 giorni nei quali sono rimasti vulnerabili. Sul versante opposto Interner Explorer ha lasciato i propri utenti esposti per 284 giorni (circa l'80% dell'anno).
Ecco l'articolo di Krebs:
Security Fix ha trascorso le ultime settimane a compilare una statistica su quanto tempo impiegano alcuni dei vendor software più importanti a pubblicare una patch di sicurezza per i loro prodotti. Poiché Windows è il sistema operativo più utilizzato al mondo, è bene iniziare con i dati sugli aggiornamenti di sicurezza Microsoft nel 2006.
Innanzitutto, una nota sulla metodologia che sta dietro questo post. I dati qui presentati si basano su un progetto che ho iniziato alla fine del 2005 che si soffermava su tre anni di sforzi da parte di Microsoft per colmare solamente le più importanti falle di sicurezza nel proprio software. Ho condotto la stessa ricerca il mese scorso, contattando individualmente quasi tutti i ricercatori di sicurezza che avessero trasmesso relazioni di vulnerabilità critiche nei prodotti Microsoft per sapere da loro non solo le date nelle quali avessero inoltrato all'azienda le loro scoperte, ma anche qualunque altro orientamento o anomalia che avessero osservato lavorando con il più grande produttore di software del mondo.
Parecchie settimane prima di pubblicare queste informazioni, avevo presentato a Microsoft i dati raccolti. I dirigenti con cui ho avuto a che fare hanno annuito servizievolmente oppure hanno sottilizzato un po' con alcuni dati, ma l'azienda non ha posto alcuna obiezione che potesse materialmente influire sui risultati presentati in questo studio particolare sulle falle di IE.
La gestione delle patch di Internet Explorer nel 2006
Per tutti i miglioramenti di sicurezza tanto sbandierati, la pubblicazione nel novembre scorso del nuovo Internet Explorer 7 è avvenuta troppo tardi per aiutare il gran numero di utenti di IE, che ammontano a circa l'80 per cento della community online mondiale. Per un totale di 284 giorni nel 2006 (o per più di nove mesi nel corso dell’anno), codice di exploit è stato liberamente disponibile su Internet per vulnerabilità critiche e non patchte per le versioni pre-IE7 del browser. Analogamente, ci sono stati almeno 98 giorni l'anno scorso nei quali non era disponibile alcuna patch da parte di Microsoft per risolvere vulnerabilità che i criminali stavano sfruttando per sottrarre dati personali e finanziari dagli utenti.
In un totale di dieci casi l'anno scorso, le istruzioni su come sfruttare le vulnerabilità "critiche" in IE sono state pubblicate online prima che Microsoft avesse a disposizione una patch per correggerle.
Microsoft contrassegna una vulnerabilità software con il grado di "critica" (il livello più grave) se la falla può essere sfruttata per attività criminali senza alcun intervento da parte dell'utente, oppure persuadendo un utente IE a cliccare su un collegamento, a visitare un determinato sito web oppure ad aprire una e-mail abilmente contraffatta o un allegato.
Questa tabella mostra la sovrapposizione delle minacce derivanti da varie vulnerabilità di IE durante il corso dell’anno.
I criminali che si sono specializzati nelle truffe su Internet continuano a prosperare con l’aiuto delle vulnerabilità di sicurezza nel browser Microsoft dell'anno scorso. Nel 2006, l'azienda ha pubblicato patch per correggere un totale di quattro vulnerabilità "Zero-Day" in IE [un exploit Zero-day si riferisce a particolari exploit disponibili lo stesso giorno, o addirittura prima che la notizia della vulnerabilità divenga di pubblico dominio, NdT].
Lo scorso anno la prima grossa falla in un programma Windows ne comprendeva una che poteva essere facilmente sfruttata tramite Internet Explorer. Alla fine di dicembre 2005, esperti hanno seguito le tracce di criminali che si intrufolavano in siti web e iniettavano codice maligno che installava spyware in grado di sottrarre le password presenti sulle macchine utilizzate da chiunque che inconsapevolmente visitava quei siti utilizzando IE. Microsoft all’inizio minimizzò la gravità della vicenda finché divenne chiaro che la minaccia si era diffusa ovunque e che migliaia di clienti erano già stati attaccati nell’arco di pochi giorni. La minaccia era così grave che un gran numero di esperi di sicurezza consigliavano agli utenti di affrettarsi a scaricare ed installare una patch prodotta da un vendor di terze parti finché Microsoft non avesse sviluppato una patch ufficiale.
In settembre dei criminali avrebbe sfruttato una falla non patchata in un web server non di Microsoft per installare codice maligno su migliaia di siti web del tutto validi che potevano infettare le macchine Windows se gli utenti li avessero visitati con IE. Molto simile alla vulnerabilità rilevata nel dicembre 2005, questo sofisticato attacco condotto da criminali organizzati ha spinto alla pubblicazione di una serie di patch di sicurezza provenienti da terze parti prima che Microsoft pubblicasse un aggiornamento ufficiale.
Nessun commento:
Posta un commento