Przez ostatnie kilka dni europejskie rządy zalecały porzucenie Internet Explorera (do czasu wydania przez Microsoft odpowiednich poprawek bezpieczeństwa, co miało miejsce wieczorem, 22 stycznia). W tym samym czasie Cliff Evans, szef działu Security and Privacy w brytyjskim Microsofcie, powiedział w wywiadzie dla TechRadar, że rezygnacja z Internet Explorera na rzecz innej przeglądarki, spowodowana ostatnimi doniesieniami na temat luki w zabezpieczeniach IE (CVE-2010-0249), wystawi użytkowników na jeszcze większe niebezpieczeństwo.
Oryginalna wypowiedź (cytat za TechRadar):
The net effect of switching [from IE] is that you will end up on less secure browser
The risk [over this specific] exploit is minimal compared to Firefox or other competing browsers… you will be opening yourself up to security issues
Jest to typowy FUD (ang. Fear, Uncertainty, Doubt – strach, niepewność, wątpliwość), któremu najlepiej przeciwstawić fakty…
Exploit Zero Day, za sprawą którego o IE zrobiło się bardzo głośno to Aurora, pozwala on na zdalne wykonanie dowolnego kodu praktycznie we wszystkich wersjach systemów Windows z pomocą luki obecnej w niemal każdej (niezałatanej) wersji przeglądarki Internet Explorer. Co więcej exploit od kilku dniu jest publicznie dostępny, a o jego skuteczności mogą świadczyć chociażby udane włamania na komputery Google i innych gigantów. Co gorsze o tej luce w IE, Microsoft dowiedział się po raz pierwszy nie od Google kilkanaście dni temu, a od BugSec, izraelskiej firmy zajmująca się bezpieczeństwem, już w sierpniu 2009 roku!
Oto, jak 21 stycznia br. prezentował się poziom bezpieczeństwa przeglądarek według rankingu Secunii:
- Raport bezpieczeństwa: Mozilla Firefox 3.5.x
Liczba niezałatanych luk bezpieczeństwa: 0 - Raport bezpieczeństwa: Google Chrome 3.x
Liczba niezałatanych luk bezpieczeństwa: 0 - Raport bezpieczeństwa: Opera 10.x
Liczba niezałatanych luk bezpieczeństwa: 0 - Raport bezpieczeństwa: Apple Safari 4.x
Liczba niezałatanych luk bezpieczeństwa: 0 - Raport bezpieczeństwa: Microsoft Internet Explorer 6.x
Liczba niezałatanych luk bezpieczeństwa: 24
Status większości niezałatanych luk: Bardzo krytyczny - Raport bezpieczeństwa: Microsoft Internet Explorer 7.x
Liczba niezałatanych luk bezpieczeństwa: 11
Status większości niezałatanych luk: Bardzo krytyczny - Raport bezpieczeństwa: Microsoft Internet Explorer 8.x
Liczba niezałatanych luk bezpieczeństwa: 4
Status większości niezałatanych luk: Bardzo krytyczny
Po wydaniu przez Microsoft w przyśpieszonym tempie, czyli poza standardowym cyklem dostarczania łatek w drugi wtorek miesiąca (ang. Patch Tuesday), krytycznej poprawki (978207) dla Internet Explorera łatającej podatność na działanie exploitu Aurora, liczba niezałatanych luk IE w Windows XP i nowszych, zmniejszyła się o jeden względem powyższych informacji. W między czasie znaleziono także usterki w Google Chrome i Apple Safari.
22 stycznia br. poziom bezpieczeństwa kształtuje się następująco:
- Raport bezpieczeństwa: Mozilla Firefox 3.5.x
Liczba niezałatanych luk bezpieczeństwa: 0 - Raport bezpieczeństwa: Google Chrome 3.x
Liczba niezałatanych luk bezpieczeństwa: 1
Status niezałatanej luki: Poniżej krytycznego - Raport bezpieczeństwa: Opera 10.x
Liczba niezałatanych luk bezpieczeństwa: 0 - Raport bezpieczeństwa: Apple Safari 4.x
Liczba niezałatanych luk bezpieczeństwa: 1
Status niezałatanej luki: Poniżej krytycznego - Raport bezpieczeństwa: Microsoft Internet Explorer 6.x
Liczba niezałatanych luk bezpieczeństwa: 23
Status większości niezałatanych luk: Umiarkowanie krytyczny - Raport bezpieczeństwa: Microsoft Internet Explorer 7.x
Liczba niezałatanych luk bezpieczeństwa: 10
Status większości niezałatanych luk: Umiarkowanie krytyczny - Raport bezpieczeństwa: Microsoft Internet Explorer 8.x
Liczba niezałatanych luk bezpieczeństwa: 3
Status większości niezałatanych luk: Poniżej krytycznego
Cztery nowe luki w zabezpieczeniach, które umożliwiają zdalne przeglądanie plików na komputerze użytkownika IE, znaleziono już następnego dnia.
W tej sytuacji lepiej nie dać się nabrać na zapewnienia Microsoftu. Jeśli nie dysponujemy możliwością całkowitego odinstalowania Internet Explorera postarajmy się, by w systemie była obecna jego najnowsza wersja. Natomiast do serfowania w internecie używajmy bezpieczniejszej przeglądarki, np. najnowszego Firefoksa lub Opery.
Źródła: Microsoft lies to your face about browser security, Awaryjne łatanie luk w Internet Explorerze i IE załatane, ale dalej dziurawe.
(Komentarz zmodyfikowany 22.01.2010 o 21:26)
Microsoft załatał jedną dziurę, Internet Explorer wciąż dziurawy jak sito
Czytaj dalej...
OSnews.pl
22 Sty 2010 17:24:27
Wczoraj wieczorem Microsoft wdał w przyśpieszonym tempie krytyczną poprawkę dla Internet Explorera łatającą podatność na działanie exploitu Aurora.
Tym samym liczba niezałatanych luk IE w Windows XP i nowszych, zmiesza się o jeden względem informacji zawartych we wpisie.
Grzegorz
22 Sty 2010 11:17:25
Drogi autorze - albo celowo klamiesz siejac FUD, albo faktycznie nie wiesz, ze porownywanie samych cyferek z Secunii jest bezcelowe. Z dwoch powodow - po pierwsze, "krytycznosc" podaje sam producent - wiec jesli chce, to moze zanizyc; przykladowo wiele dziur w Linuksie jest opisywanych jako DoS, mimo ze w rzeczywistosci jest to privilege elevation. Po drugie, czesto jako dziura jest kwalifikowane cos bez wiekszego znaczenia - w tym przypadku, niezalatane dziury w MSIE 8 pozwalaja na ujawnienie loginu uzytkownika i nadpisanie fragmentu wyswietlanego URL-a.
trasz
22 Sty 2010 21:17:51
trasz: Bezcelowe jest porównywanie samego IE, do jego luk należy doliczyć jeszcze wszystkie dziury związane z ActiveX (ich liczba rośnie wówczas kilkunastokrotnie, wciąż będziesz twierdził, że IE jest bezpieczną przeglądarką?).
Grzegorz
22 Sty 2010 21:27:40
Hm... mając na względzie dotychczasową nieudolność Microsoftu w zapewnieniu bezpieczeństwa systemu, wydaje mi się to całkiem prawdopodobne. Od dłuższego czasu próbuję zbierać materiały dot. kłamstw publikowanych przez tą korporację. (nie)bezpieczeństwo przeglądarek na pewno się w nim znajdzie!
pozdrawiam i zapraszam do siebie
Mr B
22 Sty 2010 22:51:42
@Grzglo: ActiveX jest domyslnie wylaczone. Poza tym czy ja ci do dziur w Firefoksie doliczam dziury we Flashu i Javie, domyslnie wlaczonych?
trasz
23 Sty 2010 09:42:44
trasz: To zależy od ustawień konkretnej wersji Windows i Internet Explorera. Pod Windows XP z IE6 na 100% są włączone, nie wiem jak z resztą.
Dziury we Flashu czy Javie pośrednio dotykają wszystkich przeglądarek, zaś w ActiveX tylko IE. Nie zależnie od kryteriów, w konkursie na najbardziej dziurawą przeglądarkę IE zawsze wygrywa.
Grzegorz
23 Sty 2010 13:23:14
(Komentarz zmodyfikowany 23.01.2010 o 14:57)
@trasz: po pierwsze. Czy mozesz podac zrodlo na podstawie ktorego twierdzisz, ze krytycznosc okresla sam producent?
Z tego co wiem, w przypadku Mozilli dosc czesto nie zgadzamy sie z Secunia co do poziomu krytycznosci luk w Firefoksie, i nie pamietam, aby Secunia zmniejszyla krytycznosc ze wzgledu na nasza opinie.
No i... piszesz, ze jako dziura kwalifikowane jest cos bez znaczenia. To Microsoft tak to kwalifikuje, czy moze jednak Secunia?
Po drugie. Mysle, ze jesli istnieje problem z raportami secunii, to jest on raczej wynikiem tego, ze publikuje ona jedynie upublicznione luki. Tymczasem taki producent jak Microsoft moze, bez zadnego problemu, ukrywac luki znalezione przez siebie i nie informowac o nich ani w formie raportu, ani w informacjach o wydaniu poprawek. Zatem de facto nie wiemy ile luk, znanych Microsoftowi, ma MSIE.
Pozwole sobie jeszcze raz podlinkowac tlumaczenie artykulu o pakiecie SEC: Mierzmy to co się liczy – pakiet SEC.
gandalf
23 Sty 2010 13:33:12
Wystarczy pogadac z ludzmi z Secunii. Nie wiem, z jakiego powodu z Firefoksem tak to nie dziala, ale w wiekszosci znanych mi przypadkow Secunia bierze po prostu advisory - napisane przez kogos innego - i wrzuca je do bazy. Nie bawia sie w analize.
Zwykle kwalifikuje ten, kto pierwszy napisze advisory, ktore zobacza goscie z Secunii.
Dokladnie to saom ukrywanie znalezionych przez siebie luk zdarza sie w swiecie open source. Historia zna takie przypadki i z Linuksa, i z OpenBSD, i pewnie z masy innych projektow - a zna tylko dlatego, ze raz na iles przypadkow developerom nie udalo sie zamiesc problemu pod dywan. Czasami dzieje sie to niechcacy (trudno okreslic, czy cos jest problemem z bezpieczenstwem, czy nie), czasami pewnie celowo. Ot, kwestia zaufania.
trasz
23 Sty 2010 14:00:51
Przeredagowałem wpis, porządkując zestawienia danych na temat poziomu bezpieczeństwa przeglądarek internetowych z Secunii.
Grzegorz
23 Sty 2010 14:45:40
Robię wieczorny przegląd prasy i aż przecieram oczy ze zdziwienia! Niebezpiczenik.pl pisze, że Microsoft wiedział o błędzie, za pomocą którego Chińczykom udało się włamać do Google, od prawie pół roku!
Tragifarsa. Nie chcę dłużej dyskutować, nad poziomem bezpieczeństwa IE czy rzetelnością Microsoftu. Myślę, że to mówi samo za siebie o tym, jak Microsoftu traktuje bezpieczeństwo użytkowników - Microsoft wiedział o błedzie w IE od sierpnia 2009.
Grzegorz
23 Sty 2010 23:03:01
@trasz:
Jeszcze raz. Możesz podać źródło danych do tego zdania: "ale w wiekszosci znanych mi przypadkow Secunia bierze po prostu advisory - napisane przez kogos innego - i wrzuca je do bazy. Nie bawia sie w analize.".
Powtarzam. Z całej historii mojej pracy z secunią nigdy nie widziałem, aby czekali z ujawnianiem na kontakt z nami. Widziałem wiele razy jak czekali na Operę (tzn. dziury pojawiały się na secunii w dniu wydania następnej wersji Opery która je łatała).
W przypadku Firefoksa twierdzę, że dziury secunia publikuje na podstawie zgłoszeń od znalazców i jest to niezależne od naszych działań. Zdziwiłbym się, gdyby okazało się, że Microsoft sam dostarcza Secunii informacje o lukach kiedy mu wygodnie i jeszcze opisuje jak je należy traktować.
To by oznaczało coś bardzo przykrego dla wiarygodności i "równości traktowania" przez secunię.
Mozesz wskazac przyklady i zrodla?
Nie twierdze, ze sie mylisz. Nie znam sie.
Jedno co moge zagwarantować, to że Mozilla respektuje ustanowioną przez siebię politykę publikacji informacji o lukach bezpieczeństwa i w efekcie jej twierdzę, że nigdy, żadna luka bezpieczeństwa nie została nie ujawniona.
Jeśli to wyjątkowy przypadek, to tym bardziej jestem dumny z tego jak my operujemy na błędach bezpieczeństwa i jak je łatamy.
gandalf
24 Sty 2010 01:00:00
A już miało być tak fajnie, wszyscy rzucają precz IE6 i świat staje się lepszy... ech... W tym wypadku, gdyby M$ zamiótł sprawę pod dywan, moim zdaniem lepiej by na tym wyszedł, niż kłamiąc bezczelnie o bezpieczeństwie IE. Tym bardziej, że ten "argument" obaliłby z miejsca każdy użytkownik korzystający z cywilizowanej przeglądarki, więc kogo oni chcą oszukać? chyba samych siebie.
Na koniec mogę przytoczyć [z pamięci] pewien kawał: "Pytanie: Która przeglądarka jest najnowocześniejsza? Odpowiedź: Oczywiście MSIE! No bo która z nich wprowadziła w tym roku obsługę CSS2?". ;]
Tomasz Kowalczyk
24 Sty 2010 04:49:15
@gandalf: Nie napisalem, ze Secunia zawsze czeka na kontakt. Napisalem, ze Secunia zwykle bierze pierwsze advisory - niekoniecznie pierwsze advisory od producenta - i wrzuca je na strone. Zwykle nie wnikaja glebiej w problem.
Co do nierownosci w traktowaniu - sam podales przyklad Opery. Secunia jest o tyle OK, ze poprawnie zlicza advisories. Na tym sie jej wiarygodnosc imho konczy. Ot, taka linkownia, zeby miec wszystko w jednym miejscu.
A co do okreslania, czy cos jest dziurą, czy nie - chodzi mi o sytuacje, gdy poprawiasz blad i nie jestes w stanie z odpowiednio duza pewnoscia stwierdzic, czy jest eksploitowalny, czy nie. Pojecia nie mam, jak to wyglada w przegladarkach, ale o wystepowaniu tego problemu w Linuksie wspomina sie na przyklad tu: http://slo-tech.com/clanki/10001en/
trasz
24 Sty 2010 10:55:50