Apple Security Update 2008-007

Inserito da 24 Ottobre, 2008 (0) Commenti

Si tratta di :Sicurezza

Descrizione del problema

Apple ha rilasciato il Security Update 2008-007 per correggere
varie vulnerabilta’ che affliggono il sistema operativo Mac OS X
ed alcune applicazioni distribuite insieme al sistema stesso.
:: Software interessato

Apple Mac OS X

:: Impatto

Security Bypass
Cross Site Scripting
Spoofing
Manipolazione di dati
Esposizione di dati sensibili
Esposizione di informazioni sul sistema
Privilege escalation
Denial of Service
System access

:: Soluzione

Applicare il Security Update 2008-007:

http://www.apple.com/support/downloads/

:: Riferimenti

Apple – About Security Update 2008-007:
http://support.apple.com/kb/HT3216

Secunia:
http://secunia.com/advisories/32222/

Mitre’s CVE ID:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2691
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4850
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5333
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5342
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5461
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5969
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6286
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6420
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0002
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0226
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0227
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0674
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1232
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1389
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1678
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1767
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1947
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2079
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2364
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2370
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2371
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2712
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2938
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3294
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3432
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3912
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3913
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3914
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3641
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3642
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3643
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3645
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3646
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3647
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4101
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4211
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4212
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4214
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4215

Categories : Sicurezza Tags : , , , , , , , , , , , , , , ,

Apple Security Update 2008-006

Inserito da 17 Settembre, 2008 (0) Commenti

Si tratta di :Sicurezza

Descrizione del problema

Apple ha rilasciato il Security Update 2008-006 per correggere
varie vulnerabilta’ che affliggono il sistema operativo Mac OS X
ed alcune applicazioni distribuite insieme al sistema stesso.

: Descrizione del problema

Apple ha rilasciato il Security Update 2008006 per correggere
varie vulnerabilta’ che affliggono il sistema operativo Mac OS X
ed alcune applicazioni distribuite insieme al sistema stesso.

:: Software interessato

Apple Mac OS X version 10.4.11 e precedenti
Apple Mac OS X Server version 10.4.11 e precedenti
Apple Mac OS X dalla versione 10.5 alla 10.5.4
Apple Mac OS X Server dalla versione 10.5 alla 10.5.4

L’aggiornamento riguarda sia i sistemi Intel-based
sia quelli PowerPC-based.

:: Impatto

Security Bypass
Cross Site Scripting
Spoofing
Manipolazione di dati
Esposizione di dati sensibili
Esposizione di informazioni sul sistema
Denial of Service
System access

:: Soluzione

Applicare il Security Update 2008006 attraverso lo strumento
‘Software Update’ o scaricandolo da Apple Downloads:

Apple Security Update 2008006 Client (Intel) :
http://www.apple.com/support/downloads/securityupdate2008006clientintel.html

Apple Security Update 2008006 Client (PPC) :
http://www.apple.com/support/downloads/securityupdate2008006clientppc.html

Apple Security Update 2008006 Server (PPC) :
http://www.apple.com/support/downloads/securityupdate2008006serverppc.html

Apple Security Update 2008006 Server (Universal) :
http://www.apple.com/support/downloads/securityupdate2008006serveruniversal.html

Apple Mac OS X 10.5.5 Combo Update :
http://www.apple.com/support/downloads/macosx1055comboupdate.html

Apple Mac OS X 10.5.5 Update :
http://www.apple.com/support/downloads/macosx1055update.html

Apple Mac OS X Server 10.5.5 :
http://www.apple.com/support/downloads/macosxserver1055.html

Apple Mac OS X Server Combo 10.5.5 :
http://www.apple.com/support/downloads/macosxservercombo1055.html

:: Riferimenti

Apple – About Security Update 2008006
http://support.apple.com/kb/HT3137

Mitre’s CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1100
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0314
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1382
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1387
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1447
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1483
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1657
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1833
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1835
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1836
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1837
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2305
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2312
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2327
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2329
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2330
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2331
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2332
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2713
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3215
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3608
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3609
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3610
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3611
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3613
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3614
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3616
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3619
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3621
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3622

Secunia
http://secunia.com/advisories/31882/

FrSIRT
http://www.frsirt.com/english/advisories/2008/2584

Categories : Sicurezza Tags : , , , , , , , , , , , , , , , , , ,

Vulnerabilita’ multiple in Opera Web Browser

Inserito da 22 Agosto, 2008 (0) Commenti

Si tratta di :Exploits,Sicurezza

Descrizione del problema

Sono state segnalate varie vulnerabilita’ presenti nel browser web Opera, che potrebbero essere sfruttate per aggirare restrizioni di sicurezza, ottenere accesso a informazioni riservate, o prendere il controllo di un sistema affetto.

La prima vulnerabilita’ e’ causata da un errore che si verifica se il browser viene aperto da un’altra applicazione quando e’ stato registrato come gestore di uno specifico protocollo, e puo’ essere sfruttata per causare un blocco del sistema o per eseguire codice arbitrario.

La seconda vulnerabilita’ e’ dovuta ad un errore nel modo in cui il browser controlla quali frame vanno cambiati, e puo’ essere sfruttata da un sito appositamente predisposto, per cambiare l’indirizzo di frame che puntano ad altri siti all’interno di ogni finestra di browser aperta, e mostrare informazioni ingannevoli.

La terza vulnerabilita’ e’ causata da un errore non specificato nella validazione dell’input, che potrebbe permettere cross-site scripting.

La quarta vulnerabilita’ e’ causata da un errore nel gestire parametri malformati in congiunzione con scorciatoie di tastiera personalizzate e comandi di menu, e puo’ essere sfruttata per eseguire codice arbitrario.

La quinta vulnerabilita’ e’ dovuta al fatto che il browser mostra scorrettamente l’icona di padlock quando pagine non sicure caricano contenuti sicuri all’interno di un frame, e puo’ essere sfruttata inducendo la finestra di dialogo di security information a considerare la connessione sicura.

La sesta vulnerabilita’ e’ causata da un errore nell’iscriversi a news feed usando il bottone di iscrizione ai feed, e puo’ essere sfruttata per cambiare l’indirizzo della pagina.
:: Software interessato

Opera versione 9.51 e precedenti
:: Impatto

Bypass dei controlli di sicurezza
Esposizione di informazioni sensibili
Spoofing di indirizzi
Denial of Service
Accesso al sistema
:: Soluzione

Aggiornare Opera alla versione 9.52
http://www.opera.com/download/
:: Riferimenti

Opera
http://www.opera.com/docs/changelogs/windows/952/

http://www.opera.com/support/search/view/892/
http://www.opera.com/support/search/view/893/
http://www.opera.com/support/search/view/894/
http://www.opera.com/support/search/view/895/
http://www.opera.com/support/search/view/896/
http://www.opera.com/support/search/view/897/

Securityfocus Bugtraq ID
http://www.securityfocus.com/bid/30768

Secunia
http://secunia.com/advisories/31549

FrSirt
http://www.frsirt.com/english/advisories/2008/2416

Categories : Exploits,Sicurezza Tags : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Apple Security Update 2008-005

Inserito da 1 Agosto, 2008 (0) Commenti

Si tratta di :Sicurezza

Descrizione del problema

Apple ha rilasciato il Security Update 2008-005 per correggere
varie vulnerabilta’ che affliggono il sistema operativo Mac OS X
ed alcune applicazioni distribuite insieme al sistema stesso.

:: Software interessato

Apple Mac OS X versioni precedenti alla 10.5.4

:: Impatto

Cross Site Scripting
Denial of Service
Diffusione di informazioni sensibili
Spoofing
Bypass delle restrizioni di sicurezza
Privilege escalation

:: Soluzioni

Aggiornare Mac OS x alla versione 10.5.4
o applicare il Security Update 2008-004 attraverso lo strumento
‘Software Update’ o scaricandolo da Apple Downloads:

Security Update 2008-004 (PPC):
http://www.apple.com

Security Update 2008-004 (Intel):
http://www.apple.com

Security Update 2008-004 Server (PPC):
http://www.apple.com

Security Update 2008-004 Server (Intel):
http://www.apple.com

Mac OS X 10.5.4 Combo Update:
http://www.apple.com

Mac OS X 10.5.4 Update:
http://www.apple.com

Mac OS X Server 10.5.4:
http://www.apple.com

Mac OS X Server Combo 10.5.4:
http://www.apple.com

:: Riferimenti

Apple:
http://support.apple.com/kb/HT2163

Secunia:
http://secunia.com/advisories/30802/

Mitre’s CVE ID:
CVE-2005-3164
CVE-2007-1355
CVE-2007-2449
CVE-2007-2450
CVE-2007-3382
CVE-2007-3383
CVE-2007-3385
CVE-2007-5333
CVE-2007-5461
CVE-2008-0960
CVE-2008-1105
CVE-2008-1145
CVE-2008-2308
CVE-2008-2309
CVE-2008-2310
CVE-2008-2311
CVE-2008-2313
CVE-2008-2314
CVE-2008-2662
CVE-2008-2663
CVE-2008-2664
CVE-2008-2725
CVE-2008-2726

Categories : Sicurezza Tags : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Alert GCSA-08064 – MS08-037 Vulnerabilita’ in Windows DNS

Inserito da 9 Luglio, 2008 (0) Commenti

Si tratta di :Sicurezza

Descrizione del problema

Questo aggiornamento per la protezione risolve due vulnerabilita’ di
Windows Domain Name System (DNS) che potrebbero consentire attacchi
di spoofing. Tali vulnerabilita’ sono presenti sia nel client che
nel server DNS e potrebbero consentire a un utente malintenzionato
remoto di reindirizzare il traffico di rete tra sistemi in Internet
a sistemi scelti dall’utente malintenzionato.

La prima vulnerabilita’ puo’ consentire a un utente malintenzionato
remoto e non autenticato di simulare risposte in modo rapido e
corretto e di inserire dei record nella cache del server o del
client DNS, reindirizzando in tal modo il traffico su Internet.

La seconda vulnerabilita’ potrebbe consentire a un utente
malintenzionato remoto e non autenticato di inviare delle risposte
appositamente predisposte a richieste DNS inviate da sistemi
vulnerabili, danneggiando in tal modo la cache DNS e reindirizzando
il traffico su Internet da un percorso legittimo.

Categories : Sicurezza Tags : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Alert GCSA-08021 – Vulnerabilita’ multiple in Netscape

Inserito da 21 Febbraio, 2008 (0) Commenti

Si tratta di :Sicurezza

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

******************************************************************

Alert ID : GCSA-08021
Data : 21 febbraio 2008
Titolo : Vulnerabilita’ multiple in Netscape

******************************************************************

: Descrizione del problema

Sono state riscontrate alcune vulnerabilita’ in Netscape Navigator
che potrebbero essere sfruttate da un attaccante per ottenere l’accesso
ad informazioni sensibili, eludere alcune restrizioni di sicurezza,
condurre attacchi di tipo spoofing, e potenzialmente per compromettere
il sistema vulnerabile.

: Piattaforme e software interessati

Netscape: versioni precedenti alla 9.0.0.6

: Impatto

Spoofing
DoS
Cross Site Scripting
Bypass delle restrizioni di sicurezza

: Soluzioni

Aggiornare Netscape alla versione 9.0.0.6 :

http://browser.netscape.com/downloads

: Riferimenti

Netscape:
http://browser.netscape.com/releasenotes/

FrSIRT:
http://www.frsirt.com/english/advisories/2008/0627

Secunia:
http://secunia.com/advisories/29049/

CVE Mitre:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0412
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0413
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0414
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0415
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0418
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0419
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0420
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0591
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0593
—–BEGIN PGP SIGNATURE—–

iQCVAwUBR7199vOB+SpikaiRAQKX2wP9FJim7kaSPtxw7GB6TPJnDrCy7ujAYXzo
Iv4vGV3FOJLJ0QrBQHhEtRnfkRYAjR0Kbmb663JUpoJ94U4svAs9AIs/hLgdBV0l
aRH+p5qcg3LUS9J2f5slo5RdYVkKGnBmtY/HwAdCIYGo4AoBK4Ddxq7Yzc6EynOu
aBEPWn7Sz2w=
=wwPx
—–END PGP SIGNATURE—–

Categories : Sicurezza Tags : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Alert GCSA-08007 – Vulnerabilita’ nei prodotti Mozilla

Inserito da 8 Febbraio, 2008 (0) Commenti

Si tratta di :Sicurezza

Descrizione del problema

Sono state identificate vulnerabilita’ nei prodotti Mozilla che
potrebbero permettere ad attaccanti remoti di sovrascrivere certe
restrizioni di sicurezza, condurre attacchi di spoofing, o compromettere
completamente un sistema.

Tali vulnerabilita’ sono principalmente causate:

1) da vari errori nel motore sia del browser che Javascript che possono
essere sfruttati per provocare corruzione della memoria, causando
esecuzione di codice arbitrario;
2) da un errore di desing nel gestire il focus, che puo’ potenzialmente
essere sfruttato per indurre l’utente a fare upload dei propri file;
3) da un errore nel motore Javascript che puo’ essere sfruttato per
eseguire codice Javascript con privilegi dell’utente “chrome” o per
coddurre attacchi di cross-domain scripting;
4) un errore nella validazione dell’input quando si salvano le password,
nella funzione di immagazzinamento delle password, che puo’ essere
sfruttato per iniettare nuove linee in questi file, oppure corrompendo
le password immagazzinate;

Categories : Sicurezza Tags : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,