• Germania e Francia "contro" Internet Explorer

    ie_logo.jpg

    La falla di Internet Explorer che ha consentito nei giorni scorsi di compromettere i sistemi informatici di due giganti come Google e Adobe non è passata di certo inosservata agli occhi dei vari governi, in particolare quelli europei.

    Nella giornata di venerdì scorso infatti il BSI (Ufficio Federale tedesco per la Sicurezza Informatica) ha emanato un comunicato ufficiale in cui consiglia a tutti gli utenti Internet Explorer di passare ad un browser alternativo, almeno fino a quando non sarà rilasciata da Microsoft la patch che corregge il problema.

    Sempre nel weekend in seguito alla pubblicazione del codice dell’exploit “Aurora” su Wepawet, il team di Metasploit ha rilasciato un aggiornamento che integra il nuovo modulo nel framework di sicurezza.

    Ma nella giornata di ieri è arrivata anche la presa di posizione da parte del governo francese come evidenziato da Sophos in un post sul blog societario.

    Attraverso il CERTA infatti l’esecutivo di Parigi ha vivamente consigliato ai propri cittadini di passare ad un browser diverso da IE, onde evitare di cadere vittima di questi attacchi informatici che sembrano essersi originati dalla Cina.

    È ipotizzabile che anche altri governi europei sulla scia di quello francese e tedesco, attraverso gli organi competenti, rilascino comunicati ufficiali che invitano i propri cittadini ad abbandonare momentaneamente Internet Explorer, vista la gravità della falla.

    È lecito però anche chiedersi se ci sarebbe stata una mobilitazione così rapida e autorevole qualora nomi come Google e Adobe non fossero stati coinvolti.

    Tags:

    Se vuoi aggiornamenti su Germania e Francia "contro" Internet Explorer inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. Mattia dice:

      Comunque il problema lo si ha solo con Internet Explorer 6 su Windows XP. Basta aggiornare…

    2. In realtà non è proprio così. Il fatto che il modulo di Metasploit funzioni solo con Ie6 non significa che il problema non sia presente anche nelle versioni 7 e 8.
      A dichiararlo è la stessa Microsoft nel Security Advisory 979352.

      Poi per quanto riguarda il discorso del “basta aggiornare” è tutto relativo.
      Purtroppo molto spesso per motivi tecnologici e di compatibilità con applicazioni esistenti, in molti scenari bancari e pa non è detto possano o “vogliano” aggiornare ;-)

    3. Piero dice:

      C’è differenza non solo concettuale tra la vulnerabilità e l’exploit, cioè la minaccia effettiva che sfrutta la vulnerabilità. Finchè c’è la vulnerabilità, gli exploit che sfruttano quest’ultima possono solo moltiplicarsi.

    4. Aggiungo che il fatto che ci siano exploit o PoC vari possono rendere certamente gli attacchi più numerosi o dar luogo alla comparsa di varianti.

      La mancanza di codice pubblico che sfrutta la vulnerabilità tuttavia non significa che qualcuno non l’abbia già fatto, magari per proprio tornaconto personale (vedi spionaggio industriale et similia).

      Direi che volenti o nolenti alla fine si ricade sempre nell’eterna discussione se sia meglio la “security through disclosure” o la “security through obscurity”.

    5. FMJ dice:

      Odio la definizione “browser alternativo”, sa di ruota di scorta, quando in verità è molto meglio di IE (qualsiasi esso sia).

    6. Nicola dice:

      Come dice il mio Prof di Gestione degli Incidenti Informatici “..spesso ci sono casi in cui Patchare un sistema può avere costi molto superiori che lasciarlo vulnerabile”..
      questo blog è molto interessante, l’ho scoperto da poco..complimenti a tutti.
      Nicola

    7. emmebì dice:

      @FMJ,

      sì, in effetti si doveva dire: “passare ad un browser”. Punto.

    Commenta

    Your email address will not be published. Required fields are marked *