exploit – Geekissimo

Foto della schermata di WhatsApp su smartphone

WhatsApp, un bug manda in crash l’app con un messaggio

Nel corso delle ultime ore è stata scoperta una nuova vulnerabilità di WhatsApp che pur mascherandosi da exploit utile a fare un cattivo scherzo ad eventuali amici e parenti a quanto pare permette di mandare in crash l’app da remoto semplicemente mediante l’invio di un messaggio contente 2000 caratteri speciali e dal peso di circa 2 Kb. Il bug costringerebbe quindi gli utenti ad eliminare intere conversazioni oltre che a dover riavviare l’applicazione.

Il tutto si verificherebbe poiché WhatsApp non è in grado di gestire in modo corretto i messaggi scritti con una speciale codifica. È dunque sufficiente un semplice messaggio rispondente alle caratteristiche precedentemente elencate per mandare in tilt tutto il sistema.

Internet Explorer: Microsoft corregge il bug, anche su Windows XP

Internet Explorer: Microsoft corregge la falla, anche su Windows XP

Nei giorni scorsi la notizia di una grave vulnerabilità insita in Internet Explorer aveva scatenato il panico tra gli utenti. Nel fine settimana da poco terminato Microsoft ha però provveduto a rimediare alla cosa rilasciando un’apposita patch di sicurezza.

Il fatto che diversi governi abbiano suggerito di non utilizzare Internet Explorer e di sfruttare un browser web alternativo, quello che la vulnerabilità fosse già stata utilizzata in alcuni exploit e l’ampiezza della base vulnerabilie hanno infatti costretto Microsoft a derogare anche al solito rilascio dei bollettini il secondo martedì del mese.

Ad annunciare la notizia è stata Adrienne Hall, il capo del team di sicurezza di Microsoft, mediante la pubblicazione di un apposito post sul blog ufficiale dell’azienda. Oltre a giustificare l’estensione delle correzioni anche a Windows XP (sorpresa!) con la vicinanza alla fine del supporto per l’OS nel post viene affermato che le preoccupazioni riguardanti la vulnerabilità sono state eccessive e che il numero degli attacchi che hanno sfruttato la vulnerabilità è stato limitato.

Internet Explorer, grave vulnerabilità nelle versioni dalla 6 alla 11

Brutta, anzi bruttissima situazione quella con la quale si ritrovano a dover fare i conti gli utenti del browser web di Redmond da qualche ora a questa parte. Direttamente dai laboratori Microsoft (su segnalazione dei ricercatori FireEye) giunge infatti la notizia della scoperta di una falla che mette a rischio l’utente utilizzante Internet Explorer e che va a coinvolgere tutte le versioni dello stesso che attualmente risultano presenti sulla piazza, dalla 6 alla 11.

Il problema, stando a quanto emerso, è insito nel modo in cui Internet Explorer cerca di accedere a oggetti precedentemente rimossi o mal allocati. In tal modo un malintenzionato ha dunque la possibilità di agire da remoto sul sistema vulnerabile portando all’esecuzione di codice arbitrario.

L’exploit agisce inoltre in modo particolarmente pericoloso poiché è sufficiente una visita ad un sito appositamente sviluppato per portare il codice maligno ad agire sul browser. Bastano dunque un click su un apposito link contenuto in una mail spam, uno su un link truffaldino inviato tramite chat e vari altri escamotage per far cadere gli utenti in facili trappole.

Snapchat, privacy degli utenti a rischio hacker

Snapchat, l’app per smartphone con la quale è possibile inviare messaggi a tempo e che nel corso degli ultimi tempi sta riscuotendo gran successo al punto tale da aver attirato anche l’attenzione del buon Zuck (e non solo), ha cominciato a destare qualche preoccupazione in fatto di privacy e sicurezza. Già da qualche tempo, infatti, circolano in rete diverse voci in merito all’esistenza di una vulnerabilità che permetterebbe ad eventuali malintenzionati di recuperare facilmente informazioni sui contatti presenti all’interno del device sui quali l’app è in uso.

Tali voci hanno ora trovato conferma in un report recentemente pubblicato da Gibson Security, un gruppo di cosiddetti “hacker etici”, secondo cui, appunto, Snapchat sarebbe tutt’altro che un’app sicura e che qualora lo volesse un hacker potrebbe riuscire ad individuare, mediante la funzione Trova amici, ben 10.000 contatti in soli 7 minuti racimolando addirittura altri 5.000 numeri in un solo minuto aggiuntivo.

Internet Explorer 11 e Chrome per Android “bucati” durante il Mobile Pwn2Own

Durante il contest di hacking Mobile Pwn2Own tenutosi questa settimana a Tokyo, sono emersi problemi sia per Internet Explorer che per Chrome.
Il browser di Microsoft è stato “bucato” da alcuni ricercatori di HP che – fuori concorso – hanno dimostrato gli effetti di un exploit su Internet Explorer 11 per Windows 8.1. Sfruttando la falla, il team è riuscito ad eseguire del codice da remoto e a prendere il controllo completo della macchina, un Surface Pro nel caso specifico.

Chromecast, exploit e permessi di root

Sono bastati pochi giorni affinché qualcuno trovasse il modo di “bucare” il Chromecast di Google e a rootare il dispositivo. A riuscire nell’impresa sono stati i ragazzi di GTVHacker, che sono riusciti a trovare un exploit nel Secure-Boot del dongle marchiato Mountain View e ad ottenere i permessi di root sfruttando una tecnica relativamente semplice.

Windows 8.1 Preview, fino a 100 mila dollari per ogni bug scoperto

Nel corso delle ultime ore Microsoft ha annunciato una nuova iniziativa dedicata a tutti i ricercatori di sicurezza e agli hacker dell’intero globo terrestre il cui fine consiste nell’individuare le vulnerabilità di Windows 8.1 Preview, la versione dell’OS della redmondiana che verrà distribuita il prossimo 26 giugno durante la conferenza Build 2013.

Per ogni falla scoperta i ricercatori di sicurezza e gli hacker riceveranno un premio in denaro. Nel caso in cui venga suggerito un sistema mediante cui far fronte all’effetto dell’exploit sarà inoltre possibile ottenere un interessante bonus sempre in denaro.

Lo stesso discorso vale anche per Internet Explorer 11 Preview. Anche in questo caso qualora vengano scoperte vulnerabilità Microsoft provvederà a ripagare i cacciatori di bug con un interessante premio monetario.

Il prezzo pagato da Microsoft per una vulnerabilità critica è abbastanza elevato. I software moderni, infatti, utilizzano tecniche di sicurezza che rendono tanto costosa quanto complessa la realizzazione di un exploit.

Nuovo exploit in Internet Explorer 8 confermato da Microsoft

Tramite il suo Security Response Center, Microsoft ha confermato la presenza di una nuova falla di sicurezza in Internet Explorer 8 che consente “l’esecuzione di codice remoto se l’utente visita un sito Web malevole con questa versione del browser”. La vulnerabilità è già stata oggetto di exploit e secondo quanto riportato da varie fonti sarebbe già stata sfruttata da dei malintenzionati per sferrare attacchi contro il Dipartimento del Lavoro e il Dipartimento dell’Energia degli Stati Uniti d’America.

Apple, attacco hacker ai sistemi Mac

Gli stessi hacker che nei giorni scorsi hanno attaccato Twitter e Facebook nel corso delle ultime ore si sono dati da fare anche con Apple mettendo a segno un piano tanto raffinato quanto organizzato e decisamente ben più pericoloso rispetto ai precedenti.

Il veicolo tramite il quale è stato sferrato l’attacco è, ancora una volta, un bug di Java.

L’exploit, infatti, è stato messo a segno attraverso un sito per sviluppatori di software visitato da alcuni dipendenti dell’azienda di Cupertino.

Gli hacker hanno sferrato il loro attacco sfruttando un plug-in del browser web sviluppato per Java.

Il problema è stato tuttavia limitato a pochi dipendenti ed Apple assicura che nessun dato interno è stato compromesso.

Java: scovata una grave vulnerabilità, Oracle rilascia subito una patch

Con l’arrivo del nuovo anno, oramai in corso già da diversi giorni a questa parte, si torna a parlare delle vulnerabilità di Java che durante il 2012 hanno fatto discutere così come non mai.

Il problema, questa volta, è davvero molto grave tanto da portare la stessa Oracle a rendere immediatamente disponibile una patch, contente diverse correzioni relative, appunto, alla sicurezza inclusa una modifica che impedisce l’esecuzione automatica delle applet e delle applicazioni non firmate senza l’autorizzazione dell’utente.

Con questa nuova versione Oracle ha infatti cambiato il Java Security Level predefinito da Medium a High.

Il livello di sicurezza può comunque essere verificato o modificato attraverso uno slider presente nella scheda Sicurezza del Java Control Panel.

Microsoft rilascia una patch per la vulnerabilità di Internet Explorer 6-8

Microsoft ha rilasciato un fix temporaneo per la vulnerabilità di Internet Explorer 6, 7 e 8 scoperta qualche giorno fa dall’azienda di sicurezza informatica FireEye. Già oggetto di exploit, la vulnerabilità ha reso possibile l’esecuzione di codice remoto in seguito alla visita di un sito malevolo (perlopiù link contenuti in email esca o messaggi di chat).

Il “rattoppo” è solo provvisorio, provvede dunque a regolare le impostazioni di IE in modo che non sia possibile sfruttare la falla di cui sopra ma per una patch definitiva occorrerà aspettare ancora qualche settimana.

Exploit Internet Explorer: nuova vulnerabilità scovata in IE6, IE7 ed IE8

L’azienda di sicurezza informatica FireEye ha scovato una nuova vulnerabilità, già oggetto di exploit, in Internet Explorer. Il problema affligge solo le versioni più datate del browser ma non è da prendere sotto gamba in quanto sono ancora moltissimi gli utenti che in tutto il mondo utilizzano Windows XP e di conseguenza versioni poco aggiornate di IE.

Android, la vulnerabilità è già sistemata!

Buone, anzi ottime notizie per gli utenti di Android: Google ha annunciato che la vulnerabilità che aveva colpito il 99% degli smartphone Android è stata già sistemata. E non ci sarà nemmeno da attendere i tempi biblici dei carrier, perché il rattoppo è stato fatto sul lato server e, dunque, non ci sarà bisogno di aggiornamenti software sui nostri smartphone!

Ecco il comunicato ufficiale del gigante di Mountain View sulla sistemazione della falla: “Oggi abbiamo iniziato a distribuire una correzione che ripara una falla di sicurezza che, in determinate circostanze, avrebbe permesso a terze parti di accedere ai dati disponibili nei calendari e nei contatti. La correzione non richiede azioni da parte dell’utente e sarà completata interamente nell’arco dei prossimi giorni“.

Utenti Android a rischio: il 99% degli smartphone è vulnerabile agli attacchi

Mentre tutti continuano a preoccuparsi della questione LocationGate e del tracciamento degli utenti effettuato da tutti gli smartphone di ultima generazione, arriva un rapporto abbastanza allarmante circa la sicurezza di Android e più precisamente sull’impenetrabilità dei dati degli utenti che usano il sistema operativo mobile di Google.

Secondo quanto si può leggere su “The Register”, il 99% degli Android Phone è vulnerabile e soggetto ad exploit che potrebbero mettere a rischio le credenziali degli account utente. Tutta colpa di “un’implementazione impropria del protocollo di autenticazione conosciuto come ClientLogin“. Questo protocollo, che è presente in Android 2.3.3 e tutte le versioni precedenti dell’OS, tiene aperti gli account degli utenti per 14 giorni dando così la possibilità ad eventuali malintenzionati di rubare i token di accesso e prendere controllo degli account stessi.

+ Leggi tutto