lunedì 28 luglio 2014

Quanto è bucato Internet Explorer?

http://punto-informatico.it
Una nuova ricerca evidenzia il pericoloso impennarsi delle vulnerabilità nel browser Web più popolare al mondo. Mentre i ricercatori di VUPEN incassano ricompense per falle scoperte anni fa
Roma - Stando ai dati raccolti da Bromium Labs, nel 2014 il numero di vulnerabilità scoperte nel codice di Internet Explorer è raddoppiato rispetto all'anno scorso. Si tratta di un risultato inquietante, per di più raggiunto in soli sei mesi.

La ricerca di Bromium sui trend nello sfruttamento delle vulnerabilità di sicurezza inchioda dunque IE come il re incontrastato di falle e bug pericolosi, un titolo poco desiderabile a cui si accompagna il più alto numero di patch correttive mai rilasciate da Microsoft.

Nel 2014 Redmond ha distribuito più patch di quelle pubblicate nei dieci anni precedenti, sostiene la security enterprise, anche se non sono tutte cattive notizie: col tempo "bucare" IE è diventato più difficile e oggi i cracker prediligono usare componenti esterni come Adobe Flash per sovvertire i meccanismi di sicurezza del browser, mentre Microsoft si è impegnata in maniera concreta nell'implementare "miglioramenti architetturali" capaci di rafforzare e rendere maggiormente resilienti i suddetti meccanismi.
Secondo Bromium la situazione delle vulnerabilità è migliorata parecchio nel caso di Java, con la VM di Oracle che nella prima parte del 2014 non è stata colpita da falle zero day diversamente da quanto successo nell'anno precedente.

A non aiutare la sicurezza di IE ci pensano ovviamente la popolarità del browser e la necessità, per Microsoft, di mantenere la retrocompatibilità con gli standard delle versioni meno recenti del software. Non stupisce, in tal senso, venire a conoscenza del fatto che gli esperti di VUPEN sono riusciti a guadagnare la ricompensa economica dell'ultimo contest Pwn2Own con una falla scoperta tre anni prima, una vulnerabilità pericolosa nella sandbox della Modalità Protetta di IE che è rimasta dormiente nel codice del browser per un'eternità (informaticamente parlando) prima che la società informasse Microsoft della sua esistenza.

Alfonso Maruccia

Nessun commento:

Posta un commento