Sicurezza
Mozilla Firefox vulnerabilita’ e’ confermata sulla versione 3.6.8 per Windows
E’ stata identificata una vulnerabilita’ in Mozilla Firefox che potrebbe essere sfruttata per compromettere un sistema vulnerabile.
Tale vulnerabilita’ e’ causata dall’applicazione mentre carica librerie (ad esempio dwmapi.dll) in modo non sicuro, e potrebbe essere sfruttata per caricare librerie arbitrarie inducendo l’utente, per esempio, ad aprire file HTML situati su WebDAV o SMB share remoti.
La vulnerabilita’ e’ confermata sulla versione 3.6.8 per Windows.
Anche altre versioni potrebbero essere affette.
:: Piattaforme e Software interessati
Mozilla Firefox 3.6.x
:: Impatto
Esecuzione remota di codice arbitrario
Compromissione del sistema
:: Soluzione
Al momento non e’ ancora disponibile una patch,
pertanto si raccomanda di non aprire file non fidati.
:: Riferimenti
Exploit-db:
http://www.exploit-db.com/exploits/14730/
Secunia:
http://secunia.com/advisories/41095/
scaricare il service pack 3 per continuare a ricevere gli aggiornamenti automatici
Gli utenti con installato windows xp sp2 per continuare a ricevere gli aggiornamenti devono scaricare gratis il Service Pack per aggiornare la versione di Windows
Tutti coloro che non si fossero ancora aggiornati al Service Pack 3 (SP3), disponibile ormai da più di due anni, non riceveranno più aggiornamenti di sicurezza e patch per il sistema operativo.
LINK DIRETTO :
ATTENZIONE: Non è disponibile alcun Service Pack 3 per la versione a 64 bit di Windows XP. Se sul computer è installata la versione a 64 bit di Windows XP con SP2, il Service Pack è già quello più recente e si continuerà ad avere diritto al supporto e agli aggiornamenti fino all’8 aprile 2014.
Martedì 13 luglio è anche il “patch day” mensile di Microsoft:
un messaggio dagli hacker “Attenti, siete tutti controllati”
Da cattivi della rete a difensori della privacy: gli hacker contro i tanti “Grandi fratelli”
Gli hacker italiani si sono dati appuntamento a Roma per ricordare a noi, semplici forzati digitali, di essere tutti quanti sorvegliati da un «grande fratello». È il tredicesimo anno che un «Hackit» fa il punto sui principi sacri del tecno attivismo in rete. Dopo dieci anni il punto di raccolta dell’hackmeeting italiano è ancora Roma, e non per un caso. Un paio di mesi fa fu annunciata l’inaugurazione di «Sala Sistema Roma», una centrale che permetteva il controllo on line di tutte le 5000 telecamere accese nelle vie della Capitale, comprese quelle montate sugli autobus. Un vero e proprio sistema di sorveglianza telematico, proposto per la prevenzione dei crimini attraverso l’individuazione di «comportamenti anomali». Un «cervellone» che dovrebbe contribuire alla sicurezza, capace persino di individuare un singolo individuo e seguirne il percorso attraverso la città.
Secondo il manifesto degli hackers questo in realtà sarebbe: «solo tipico delle aree di prigionia o di guerra, una cittadinanza sotto controllo perde la coscienza del proprio diritto alla privacy…». Per studiare il contrattacco gli hackers si sono così accampati per tre giorni tra le frasche del centro sociale «La Torre», nella zona di Ponte Mammolo. Fanno seminari sulla programmazione, sull’autocostruzione di pale eoliche, si riuniscono all’aperto nel «lan space» sotto a una tettoia, accanto a quello che era un vecchio rudere di una fattoria. Sono la generazione che si sta facendo in questo momento le domande più realistiche sull’evoluzione della cultura digitale, rappresentano loro malgrado una sorte di classe sacerdotale che ancora crede fermamente nei principi fondamentali della condivisione dei saperi, del software aperto, al rispetto del diritto di ogni individuo ad usufruire di Internet senza che questo rappresenti una trappola per la sua privacy.
L’inconsapevolezza generale di essere controllati è il punto dolente che gli hacker riuniti hanno scelto come argomento del loro incontro annuale Tre giorni di incontri e seminari per lanciare l’allarme: «Telecamere, carte magnetiche, telefonini e social network – denunciano gli hacker – monitorano ogni aspetto della nostra vita e la registrano. Spostamenti, consumi, abitudini, conversazioni: tutto viene osservato, indicizzato, catalogato. I grandi fratelli sono tanti, sono ovunque e hanno mille facce». Hackit è l’antitesi invisibile agli Italiani stregati da Facebook, ancor più ai cyber fighetti della patinatissima generazione iPhone; i ragazzi in maglietta nera sotto le piante di fico accrocchiano cavetti e antenne alle loro macchinette da pochi soldi, ma tutte ben carrozzate Linux e capaci di far prodigi. Praticano artigianalmente la passione per lo scardinamento della tecnologia intesa come un bene proprietario, quindi usabile da pochi per controllare molti.
La chiave estetica comune è proprio il disprezzo per il feticismo del design a scapito della duttilità dell’oggetto tecnologico. Claudyus mi fa vedere come stia programmando un sofisticato sistema di controllo per una macchina per uso domestico che permette la modellazione di oggetti a 3d, che possono essere inviati come fossero dei fax. L’hardware assomiglia a una sorta di meccano per adulti e l’ha progettato un americano, lui interviene sul software e magari, anche grazie al suo lavoro, domani potremo scambiarci da casa nostra rappresentazioni tridimensionali come oggi ci scambiamo foto o brani musicali. Un gruppo dell’hacktivism romano illustra una mappa dove si dimostra che la rete libera e disponibile per tutti in Italia è un’utopia solo perché così si vuole che sia: «Ninux» se la sono costruita loro, antenna dopo antenna, è una rete comunitaria che fornisce connessione wireless libera, senza scopi di lucro, e nel rispetto della filosofia open source. Si stanno espandendo soprattutto nelle zone del Prenestino e del Pigneto.
Loro ancora ci provano a usare Internet come fosse il fantastico regno dell’Utopia, forse proprio da loro può arrivarci, tra chi lancia anatemi e chi dalla rete è stato stregato, l’allarme più verosimile a tenere alta la guardia pur non negandoci di vivere in pieno il nostro diritto ad essere digitali.
fonte la stampa
Colpo degli hacker, bucato YouTube
Una baco manda ko il portale di condivisione video: “Password a rischio”
Un codice di tre righe mette ko YouTube e imbarazza Google, che si vede bucare dagli hacker e, per ore, non trova soluzioni. I pirati colpiscono nella notte, diffondendo su un forum la stringa di testo che, inserita nei commenti sotto i video, permette di aggirare i filtri e modificare i filmati caricati sul portale di condivisione più famoso e cliccato del mondo. Il primo vip a farne le spese è Justin Bieber, stella sedicenne del pop statunitense, che ha cominciato la carriera proprio “sul Tubo”. Cliccando sui suoi video appare un flash (nella foto a destra) che annuncia la sua morte. Uno scherzo macabro e una trappola per gli utenti, visto che il link che appare in sovrimpressione rimanda a un sito hard, naturalmente a pagamento. Pochi minuti dopo e tocca a Lady Gaga, il bersaglio grosso, che proprio ieri ha festeggiato i dieci milioni di fans su Facebook.
La notizia dei pirati che affossano il gigante fa il giro di Twitter in un lampo. «Via da YouTube, il vostro pc è in pericolo», annuncia un sms spedito dal sito Nexweb che rimbalza tra gli utenti. Il rischio è che gli hacker riescano a impadronirsi di password e dati sensibili. Da Mountain View nessuna conferma, ma la domenica di follia degli internauti è appena iniziata. Sfruttando la falla nel sistema di YouTube si possono far sparire ed apparire video, inserire scritte oscene, cancellare informazioni preziose. Richard Cunningham, blogger della prima ora e programmatore trova il baco: basta inserire una serie di lettere nei commenti che il sistema impazzisce. «Oggi abbiamo dimostrato che possiamo ancora mettere sottosopra il Web», scrivono gli hacker in un messaggio.
Il colpo grosso, poi arginato dai tecnici di Mountain View, arriva due due giorni dopo l’annuncio che su YouTube, da dicembre, sbarcherà anche la pubblicità. Il progetto è stato annunciato in un evento aziendale da Baljeet Singh, senior product manager di Google, ed è considerato una svolta storica. Il nuovo formato pubblicitario, ha spiegato Singh, lascerà agli utenti la possibilità di guardare o meno i secondi di spot che precedono alcuni filmati. In questo modo, secondo il colosso di Internet, anche le aziende e gli inserzionisti saranno stimolati a investire in pubblicità innovative, sempre più “adatte” per il web e in grado di attrarre i consumatori. Una mossa che ai duri e puri della Rete non dev’essere andata giù: la controffensiva è scattata nella prima, sonnacchiosa, domenica di luglio.
fonte la stampa
Vulnerabilita’ multiple in Google Chrome
:: Descrizione del problema:
Sono state riscontrate vulnerabilita’ multiple in Google Chrome, che
potrebbero essere sfruttate da attaccanti remoti per oltrepassare
restrizioni, accedere ad informazioni sensibili o per compromettere un
sistema vulnerabile.
Per una descrizione completa delle vulnerabilita’ fare riferimento alla
segnalazione ufficiale.
:: Software interessato:
Google Chrome versioni precedenti la 5.0.375.55
:: Impatto:
Cross Site Scripting
Accesso al sistema
Possibile compromissione del sistema
Sensitive information disclosure
:: Soluzioni:
Aggiornare Google Chrome alla versione 5.0.375.55:
:: Riferimenti:
Google Chrome:
http://googlechromereleases.blogspot.com/2010/05/stable-channel-update.html
Secunia:
http://secunia.com/advisories/39882
VuPen:
http://www.vupen.com/english/advisories/2010/1254
Apple Mac OS X aggiornamento per Java
:: Descrizione del problema:
Apple ha rilasciato un aggiornamento per Java per Mac OS X.
Tale aggiornamento risolve alcune vulnerabilita’ che potrebbero essere sfruttate per aggirare restrizioni di sicurezza, manipolare dati, rivelare informazioni sensibili, provocare attacchi DoS, e compromettere un sistema utente.
:: Piattaforme e Software interessati:
Apple Macintosh OS X
:: Impatto:
Esposizione dei dati del sistema
Esposizione di informazioni sensibili
Denial of service
Security bypass
Accesso al sistema
Manipolazione di dati
:: Soluzione:
Applicare l’aggiornamento:
http://www.apple.com/support/downloads/
:: Riferimenti:
Apple:
http://support.apple.com/kb/HT4170
http://support.apple.com/kb/HT4171
Secunia:
http://secunia.com/advisories/39819/
Mitre CVE:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1105
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3910
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0082
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0084
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0085
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0087
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0088
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0089
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0090
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0091
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0092
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0093
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0094
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0095
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0538
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0539
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0837
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0838
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0840
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0841
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0842
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0843
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0844
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0846
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0847
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0848
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0849
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0886
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0887
-
