Microsoft załatał jedną dziurę, Internet Explorer wciąż dziurawy jak sito
- Dodano: 22 stycznia 2010
- Wprowadził: Grzegorz
- Komentarze: 33
Przez ostatnie kilka dni europejskie rządy zalecały porzucenie Internet Explorera (do czasu wydania przez Microsoft odpowiednich poprawek bezpieczeństwa, co miało miejsce wczoraj wieczorem). W tym samym czasie Cliff Evans, szef działu Security and Privacy w brytyjskim Microsofcie, powiedział w wywiadzie dla TechRadar, że rezygnacja z Internet Explorera na rzecz innej przeglądarki, spowodowana ostatnimi doniesieniami na temat niebezpiecznej luki w zabezpieczeniach IE, wystawi użytkowników na jeszcze większe niebezpieczeństwo.
Oryginalna wypowiedź (cytat za TechRadar):
The net effect of switching [from IE] is that you will end up on less secure browser
The risk [over this specific] exploit is minimal compared to Firefox or other competing browsers… you will be opening yourself up to security issues
Jest to typowy FUD (ang. Fear, Uncertainty, Doubt – strach, niepewność, wątpliwość), któremu najlepiej przeciwstawić fakty…
Raport bezpieczeństwa: Mozilla Firefox 3.5.x
Liczba niezałatanych luk bezpieczeństwa: 0
Raport bezpieczeństwa: Google Chrome 3.x
Liczba niezałatanych luk bezpieczeństwa: 1
Status niezałatanej luki: Poniżej krytycznego
Raport bezpieczeństwa: Opera 10.x
Liczba niezałatanych luk bezpieczeństwa: 0
Raport bezpieczeństwa: Apple Safari 4.x
Liczba niezałatanych luk bezpieczeństwa: 1
Status niezałatanej luki: Poniżej krytycznego
Raport bezpieczeństwa: Microsoft Internet Explorer 6.x
Liczba niezałatanych luk bezpieczeństwa: 23
Status większości niezałatanych luk: Umiarkowanie krytyczny
Raport bezpieczeństwa: Microsoft Internet Explorer 7.x
Niezałatanych: 10
Status większości niezałatanych luk: Umiarkowanie krytyczny
Raport bezpieczeństwa: Microsoft Internet Explorer 8.x
Niezałatanych: 3
Status większości niezałatanych luk: Poniżej krytycznego
Warto dodać, że jeszcze wczoraj wszystkie wersje Internet Explorera miały o jedną lukę więcej i w skali niebezpieczeństwa stosowanej przez Secunię były oznaczone statusem Bardzo krytyczny.
Dodatkowe informacje: Grzglo Tech Blog: Microsoft kłamie na temat bezpieczeństwa przeglądarek internetowych.
Więcej informacji: http://grzglo.jogger.pl/2010/01/21/micro...ek-intern/
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
33 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
W tej sytuacji lepiej nie dać się nabrać na zapewnienia Microsoftu. Jeśli nie dysponujemy możliwością całkowitego odinstalowania Internet Explorera postarajmy się, by w systemie była obecna jego najnowsza (posiadająca najmniej dziur) wersja. Natomiast do serfowania w internecie używajmy bezpieczniejszej przeglądarki, np. najnowszego Firefoksa.
Nie dalej niż podczas ostatnich wakacji w sieci krążyły statystyki dziurawości przeglądarek i o dziwo najgorzej wypadał FireFox a najlepiej (albo prawie najlepiej – nie pamiętam) IE. Jak to jest w praktyce każdy mógł zaobserwować w ciągu ostatnich tygodni.
To, że statystyki nie pokazały realnego zagrożenia stwarzanego przez przeglądarki chyba nikt nie ma wątpliwości. Ciekawe tylko czy celowo czy z powodu niewiedzy badaczy.
Tam mogło chodzić o ilość odkrytych luk, a nie o ilość niezałatanych. W oprogramowaniu FOSS łatwiej znaleźć luki. Ponadto, nie ma dla mnie znaczenia ile kiedyś było błędów – liczy się liczba niezałatanych dziur w tym momencie.
Sianie FUD-u chyba powinno być karalne. Po tak długim okresie im się to nie znudziło?
Sianie FUDu może nie, ale tutaj microsoft jawnie oczernia i pomawia Firefoxa. A obiektywne dane pokazują, że kłamie. Mozilla nie może ich za to pozwać?
A ile razy mozilla kłamała mowiąc ze ma najszybsza przeglądarkę? Mimo, ze w testach wygrywała Opera i Safari?
"Naj*" używa każdy w reklamach. Ciężko o to mieć pretensje.
I nadal to nie jest imienne pomawianie kogoś, jak w przypadku ms!
Poza tym szybkość to tylko cecha, a oskarżenie o błędy bezpieczeństwa to poważny zarzut i oczernianie produktu.
Zauważ, że Mozilla *nie* mówi: "Opera jest przerażająco wolna, nie używajcie jej bo zamuli wasz komputer."
Microśmieć tak.
Poza tym mi jakoś Firefox działa szybciej od opery. Znacznie szybciej działa JS (dopiero Chrome pobiło Firefoxa). W Operze też wolno renderują się strony pobrane w bardzo krótkim czasie, co przy dobrym łączu dotyczy większości stron. W Firefoksie można to zmienić w about:config, a i standardowa wartość jest OK.
Wiadomo, że najbezpieczniejsza przeglądarka to opera
Bo najbezpieczniejszy kod to taki, którego się nie uruchamia. :>
Drogi autorze – albo celowo klamiesz siejac FUD, albo faktycznie nie wiesz, ze porownywanie samych cyferek z Secunii jest bezcelowe. Z dwoch powodow – po pierwsze, "krytycznosc" podaje sam producent – wiec jesli chce, to moze zanizyc; przykladowo wiele dziur w Linuksie jest opisywanych jako DoS, mimo ze w rzeczywistosci jest to privilege elevation. Po drugie, czesto jako dziura jest kwalifikowane cos bez wiekszego znaczenia – w tym przypadku, niezalatane dziury w MSIE 8 pozwalaja na ujawnienie loginu uzytkownika i nadpisanie fragmentu (ale iirc nie domeny, wiec nie pozwala to na phishing) wyswietlanego URL-a.
Bo generalnie jest to optymistyczne podejście – źle użyta dziura wyłoży system, więc to jest i DoS, optymistyczne podejście
.
Co do niezałatanych dziur w IE – większość to `luki`, których zwyczajnie nie da się wykorzystać. Poza tym ile było luk krytycznych w IE8 a ile w FF 3.5? Starczy rzucić okiem w papiery Mozilii żeby przekonać się jak często FF jest krytycznie dziurawy – częściej niż IE. Dla przykładu – IE8 to bodaj jedyna przeglądarka, w której nie znaleziono poważnych błędów w przetwarzaniu plików graficznych.
.
Co do wspomnianego błędu – jasne, że mogą, ale w specyficznych warunkach.
.
Nie zaciekawiło Was dlaczego nikt faktycznie pracujący w branży bezpieczeństwa nie nawołuje do porzucenia IE? Równie krytyczne luki bywała w FF czy Operze… IE ma po prostu zły PR + szerokie grono przeciwników, którzy jeszcze przez kilka lat alkoholu nie kupią legalnie.
Analogicznie nikt pracujący w branży bezpieczeństwa nie namawia do używania IE.
"Nie zaciekawiło Was dlaczego nikt faktycznie pracujący w branży bezpieczeństwa nie nawołuje do porzucenia IE?"
E? Ty chyba masz wybiórczy słuch…
Oczywiście może nie nawołują tak jak te kraje, bo boją się konsekwencji ze strony mafijnego microsoftu. Ale jak najbardziej IE jest odradzany.
Jasne, że można polemizować z przyjętą metodologią, kryteriami czy podważać wiarygodność firmy, która badanie przeprowadziła.
Poziom bezpieczeństwa IE w dużej mierze zależy od wersji, ustawień konkretnej wersji Windows oraz dodatkowego oprogramowania, chociażby antywirusowego.
Z tym, że IE jest wrażliwy na całą masę dziur związanych z ActiveX, które w ogóle nie dotyczą pozostałych przeglądarek. O ile dziury we Flashu czy Javie pośrednio dotykają wszystkich przeglądarek, to już zagrożenia związane z ActiveX idą tylko na konto IE.
@Grzegorz: "Zapominasz", ze ActiveX jest domyslnie wylaczony i w praktyce prawie nic go nie uzywa.
W praktyce niestety nie jest to prawda. Używa go do dzisiaj np. mój bank: cały nasz intranet jest na nim oparty oraz moduł do autoryzowania przelewów dla klientów korporacyjnych.
@trasz
Taaak… W IE zamiast standardowego XMLHttpRequest jest… new ActiveXObject("Microsoft.XMLHTTP").
Duża część activex jest przez ms oznaczona jako "bezpieczna" i stanowi podstawową funkcjonalność silnika ie. I nie da się jej wyłączyć.
Jeśli teraz pojawi się bug pozwalający załadować niebezpieczny formant, to ie z chęcią go wykona – niezależnie od ustawień.
Tak właśnie wygląda ie: chaotyczne rozwiązania generujące trudne do odnalezienia błędy.
Nie pogrążaj się broniąc tego trupa.
MS dał tylko technologie, fakt, że w rekach niektórych jest jak nóż w rekach oseska – co nie znaczy, ze technologia jest zła.
po czym użył swojej siły rażenie aby uczynić ją dominującą.
@oO: I znow mylisz kwestie. Zagrozenia ze strony ActiveX – czyli to, co domyslnie jest wylaczone – wynikaja z ladowania zewnetrznych kontrolek ActiveX. Ich wewnetrzne uzywanie nie jest w zaden sposob zagrozeniem. Na przyszlosc postaraj sie zrozumiec mechanizm, zamiast poprzestawac na porownaniu nazw. (Poza tym, ActiveX nie jest czescia silnika MSIE.)
A co do twojego hipotetycznego buga – rownie dobrze bug w Firefoksie moglby spowodowac uruchomienie dowolnego kodu uzywajac XPCOM. Oba scenariusze sa, jesli rozumiesz mechanizm, podobne technicznie i podobnie bzdurne.
@Najek
Jeśli nie wiesz co znaczą jakieś wyrażenia, to ich nie używaj tylko dlatego, że mądrzej brzmisz.
"Nóż w rekach oseska" to synonim czegoś, czym sam możesz zrobić sobie krzywdę.
IE i ActiveX to "technologia", która pozwala komuś zrobić tobie krzywdę. Zdalnie i bez twojej wiedzy.
"co nie znaczy, ze technologia jest zła."
ActiveX jest zły i całkowicie zbędny.
@oO: Ktorego slowa w stwierdzeniu "domyslnie wylaczony" nie rozumiesz?
Kto określa krytyczność ma drugorzędne znaczenie. Liczy się, że są, przybywa ich ostatnio więcej niż ubywa i że nikt nie ma ochoty ich łatać.
Co do fudowania na temat Linuxa to mógłbyś sobie darować, nic nie wnosi to do tego wątku, tylko pokazuje twoje trolistyczne kompleksy.
@tadek: Jest dokladnie na odwrot – bezpieczenstwo MSIE z wersji na wersje jest coraz lepsze, dokladnie odwrotnie niz w przypadku Firefoksa.
A co do Linuksa – przeczytaj sobie http://slo-tech.com/clanki/10001en/:
"Slo-Tech: Is it true that some kernel bugs are silently fixed by kernel mantainers? Does "silently fixed" mean incorect bug classification and downgraded security impact or maybe something else?
Brad Spengler: Yes, they've admitted that to be the case. If you go back and read my LWN posts around that time I have tons of examples."
No, polepsza się, głównie dzięki temu, że coraz mniej ludzi go używa.
Natomiast reszta to jakieś pomroczne gadanie idioty, co błędy w Linuxa mają do Firefoxa?
@tadek: Dopoki ze statystyk wynika coraz wieksza liczba uzytkownikow i developerow FreeBSD, dopoty "coraz mniej ludzi go uzywa" nie jest problemem.
A co do Linuksa – przedpisca zarzucil mi FUD, wiec wkleilem linka potwierdzajacego to, o czym mowie. Ogolnie, stwierdzenie, ze producenci Closed Source naprawiaja bledy po cichu, a Open Source nie, jest bzdura.
tadek, tadek, nie karm trola. ;þ
Chyba was rozczaruje a zostasly odkryte kolejne 4 luki w IE ktore pojedynczo nie sa specjalnie grozne. Ale jesli wykozysta sie wszystkie 4 naraz to komputer staje sie otwarta ksiego. Wiecej informacji jest na idg.pl
Kiedyś (czasy IE6) były 2 takie luki: jedna pozwalała na pobranie pliku bez pytania użytkownika (zwykły download), a druga na wykonanie dowolnego lokalnego programu. Jak je wykorzystać do zdalnego wykoania kodu zauważy nawet idiota.
Ale microsoft nie łatał ich przez kilka miesięcy uparcie twierdząc, że obie są mało istotne.
Nie, żebym zaprzeczał, że być może inne błędy ie były faktycznie "istotniejsze" i jeszcze bardziej groźne…
Albo luki które były nie załatane przez ponad rok
(nic groźnego ale jednak zakwalifikowane jako luki)
PS jeżeli już mówimy o Secuni to coś mi się nie chce wierzyć że MS dobrowolnie chwali się lukami które sam znajdzie
wkońcu może je po cichu wprowadzić wraz z jakimiś innymi łatkami nie związanymi z bezpieczeństwem.
a to nie jest tak, że na secuni są wykryte luki, a od ms biorą tylko klasyfikacje luki, bo zbadaniu sprawy
Panowie, nie wypada kopać leżącego… Spuśćmy już zasłonę milczenia na Explorera.
Statystyki przeglądarek z ostatniego miesiąca (fakt, że strona lekko techniczna – linkowana z wykopu, gazety i kilku for)
Przeglądarka – Unikalni odwiedzający
FireFox 3.x – 14,316
Opera 9 – 4,295
Mozilla – 3,121
Internet Explorer 7 – 469
FireFox 2.x – 277
Internet Explorer 6 – 254
Mozilla 1.9 – 167
Internet Explorer 8 – 126
Statystyki zbierane przez countomat.pl
Mi się udało usunąć program Internet Explorer, zrobiłem to programem Arch Linux