Vecchie app, nuove vulnerabilità

Una delle migliori difese di sicurezza che puoi avere è un computer con tutte le patch. Non solo il sistema operativo, ma tutte le applicazioni, grandi e piccole, dovrebbero essere completamente aggiornate. Ma assicurarti di avere le ultime patch non è sufficiente. Devi controllare e vedere se le versioni precedenti e vulnerabili del software che hai patchato non sono ancora installate e disponibili. Sfortunatamente, molte applicazioni note, una volta aggiornate, non rimuovono le versioni precedenti. I siti Web dannosi possono spesso scegliere quale versione eseguire il tuo client, quindi mentre pensi di essere al sicuro con le ultime patch, le versioni precedenti del tuo software possono invece essere chiamate per eseguire una vulnerabilità nota di cui avevi smesso da tempo di preoccuparti.

Molti strumenti di gestione delle patch verificano solo che le ultime versioni del software installato siano corrette. Assicurati che il tuo strumento di scansione delle patch pettini il disco rigido alla ricerca di vecchie versioni dell'applicazione. Uno dei miei strumenti preferiti per rilevare le patch mancanti è il Software Inspector di Secunia. Ispezionerà il tuo disco rigido e convaliderà lo stato della patch di oltre mille applicazioni popolari. Il Software Inspector è disponibile in una versione online gratuita basata su Java; una nuova versione eseguibile installabile, gratuita e basata sul consumatore; e una versione commerciale pronta per le aziende. Le versioni commerciali e eseguibili consumer gratuite non solo scansioneranno e segnaleranno, ma monitoreranno proattivamente il software appena installato. È piuttosto elegante. (Nota dell'autore: "Nifty" è un termine tecnico.)

[ La colonna di Roger Grimes è ora un blog! Ricevi le ultime notizie sulla sicurezza IT dal blog del consulente per la sicurezza. ]

Se esegui Secunia Software Inspector, fallo in modalità Completa. Ci vogliono uno o due minuti per eseguire contro 15 secondi per la modalità non approfondita, ma troverai più patch mancanti. Devo ancora eseguire Software Inspector su un computer per la prima volta e non ho trovato patch mancanti. Ciò che è ancora più sorprendente è la frequenza con cui Software Inspector trova versioni vecchie e vulnerabili del software installate. Alcune delle versioni precedenti vengono installate in cartelle separate e altre vengono installate insieme alle versioni più recenti.

Le applicazioni più comuni che trovo con le versioni vulnerabili precedenti sono Sun Java, Adobe Flash, Adobe Shockwave, Adobe Acrobat Reader, RealPlayer e Microsoft .Net Framework. Sul lato Linux / Unix / BSD, puoi aggiungere Firefox e Thunderbird, poiché molti utenti finiscono per installare versioni più recenti in cartelle che prendono il nome dai nuovi numeri di versione.

Quando aggiorni Java, Flash e .Net Framework utilizzando il meccanismo ufficiale, il pacchetto installa la nuova versione, ma lascia la versione precedente. Windows / Microsoft Update rileva le versioni precedenti di .Net Framework e cerca di mantenerle aggiornate. Ma Java, Flash e una ventina di altri fornitori aggiungono la versione più recente, dimenticano la versione precedente e non la correggono mai.

Molti fornitori, in particolare Sun e Adobe, hanno paura di rimuovere le versioni precedenti perché le versioni più recenti possono compromettere la funzionalità delle applicazioni meno recenti. E hanno il diritto di essere cauti: ho visto migliaia di workstation emergere all'improvviso con un'applicazione mission-critical "rotta" a causa di un aggiornamento notturno.

Anche se l'aggiornamento interrompe le applicazioni, diciamo, solo lo 0,5% della sua base di clienti, un grande fornitore con centinaia di milioni di clienti sta guardando potenzialmente un milione o più di utenti finali arrabbiati. Non è un modo per aumentare la quota di mercato.

Ma se gli aggiornamenti causano problemi solo su una piccola minoranza di sistemi, è giusto lasciare la maggioranza più ampia a rischio futuro? Vorrei che più fornitori avvisassero gli utenti durante l'installazione / aggiornamento che le versioni precedenti potrebbero essere lasciate indietro per motivi di compatibilità, quindi diano agli utenti la possibilità di rimuovere la versione precedente durante la nuova installazione. Gli aggiornamenti aziendali potrebbero semplicemente installare la patch con un interruttore che forza la vecchia versione a rimanere o essere rimossa.

Se questo problema di più versioni dell'applicazione è relativamente nuovo per te o se non hai fatto nulla al riguardo, sviluppa un nuovo piano di patch di attacco e risolvi il rischio. Innanzitutto, cerca e rileva le versioni precedenti dell'applicazione. Quando trovi queste vecchie versioni del programma, assicurati che non siano più necessarie per supportare altre applicazioni attualmente utilizzate.

Se non necessario, rimuovere o disinstallare la versione precedente. A volte questo è semplice come eliminare i file e / o la directory più vecchi. Occasionalmente, alcuni programmi contrastano il processo di disinstallazione. Ad esempio, alcune versioni precedenti di Flash non ti consentono di eliminare il file, indipendentemente dal tuo stato di amministratore. Se ciò accade in Windows, provare l'applet Installazione applicazioni, eseguire il programma di disinstallazione personalizzato del programma, modificare le autorizzazioni per impedire l'esecuzione, abilitare il kill bit (se si tratta di un controllo ActiveX) o cercare metodi aggiuntivi in ​​Internet. Infine, implementare una nuova politica di patch che tenga conto delle versioni precedenti dell'applicazione lasciate indietro.

Fornitori di software, se non disinstalli la versione precedente, faccelo sapere. Meglio ancora, dacci la possibilità durante l'aggiornamento di mantenere o eliminare la vecchia versione. Otterrai punti bonus se non provi a introdurre software di terze parti non correlato nel tuo processo di patch.

Podcast Sun e il tuo davvero