falla – Geekissimo

Facebook Messenger, individuata una pericolosa falla di sicurezza

Il gruppo Check Point esperto di sicurezza in rete ha da poco provveduto a rendere noto di aver scovato una pericolosa falla di sicurezza all’interno della app Facebook Messenger e, di conseguenza, anche della chat online del social network capitanato da Mark Zuckerberg.

Il nome attribuito alla falla scovata è MaliciousChat e stando a quanto dichiarato avrebbe potuto permettere ad eventuali malintenzionati di modificare oppure di rimuovere qualsiasi messaggio, foto, file, link e altro ancora precedentemente inviato.

WordPress: grave vulnerabilità, milioni di siti a rischio

WordPress è senza ombra di dubbio una delle piattaforme maggiormente utilizzate dall’utenza in tutto il mondo per la realizzazione di siti Web. Tenendo conto di tale dato la vulnerabilità scovata proprio nel corso delle ultime ore risulta essere ancor più grave di quanto già non lo sia.

Milioni di siti Internet basati su WordPress rischiano infatti di subire un attacco hijacking a causa di una falla presente nell’installazione predefinita del celebre CMS.

iOS, un attacco Wi-Fi manda in loop i dispositivi

Nel corso delle ultime ore è stato scovato un nuovo attacco alla piattaforma iOS capace di costringere iPhone e iPad al continuo riavvio sfruttando unicamente la rete Wi-Fi.

A scovare la problematica sono stati i ricercatori di Skycure che hanno inoltre provveduto a ribattezzarla con il nome di “No iOS Zone” poiché in grado di rendere praticamente inutilizzabili i dispositivi affetti.

Internet Explorer: Microsoft corregge il bug, anche su Windows XP

Internet Explorer: Microsoft corregge la falla, anche su Windows XP

Nei giorni scorsi la notizia di una grave vulnerabilità insita in Internet Explorer aveva scatenato il panico tra gli utenti. Nel fine settimana da poco terminato Microsoft ha però provveduto a rimediare alla cosa rilasciando un’apposita patch di sicurezza.

Il fatto che diversi governi abbiano suggerito di non utilizzare Internet Explorer e di sfruttare un browser web alternativo, quello che la vulnerabilità fosse già stata utilizzata in alcuni exploit e l’ampiezza della base vulnerabilie hanno infatti costretto Microsoft a derogare anche al solito rilascio dei bollettini il secondo martedì del mese.

Ad annunciare la notizia è stata Adrienne Hall, il capo del team di sicurezza di Microsoft, mediante la pubblicazione di un apposito post sul blog ufficiale dell’azienda. Oltre a giustificare l’estensione delle correzioni anche a Windows XP (sorpresa!) con la vicinanza alla fine del supporto per l’OS nel post viene affermato che le preoccupazioni riguardanti la vulnerabilità sono state eccessive e che il numero degli attacchi che hanno sfruttato la vulnerabilità è stato limitato.

Internet Explorer, grave vulnerabilità nelle versioni dalla 6 alla 11

Brutta, anzi bruttissima situazione quella con la quale si ritrovano a dover fare i conti gli utenti del browser web di Redmond da qualche ora a questa parte. Direttamente dai laboratori Microsoft (su segnalazione dei ricercatori FireEye) giunge infatti la notizia della scoperta di una falla che mette a rischio l’utente utilizzante Internet Explorer e che va a coinvolgere tutte le versioni dello stesso che attualmente risultano presenti sulla piazza, dalla 6 alla 11.

Il problema, stando a quanto emerso, è insito nel modo in cui Internet Explorer cerca di accedere a oggetti precedentemente rimossi o mal allocati. In tal modo un malintenzionato ha dunque la possibilità di agire da remoto sul sistema vulnerabile portando all’esecuzione di codice arbitrario.

L’exploit agisce inoltre in modo particolarmente pericoloso poiché è sufficiente una visita ad un sito appositamente sviluppato per portare il codice maligno ad agire sul browser. Bastano dunque un click su un apposito link contenuto in una mail spam, uno su un link truffaldino inviato tramite chat e vari altri escamotage per far cadere gli utenti in facili trappole.

iOS 7, scovato un nuovo bug che causa logout continui dalle app

Dopo la falla, scovata qualche giorno fa, che consente di bypassare la schermata di blocco degli iDevice nonostante la presenza di un apposito codice d’acceso al dispositivo permettendo dunque ad un eventuale malintezionato di accedere alla fotocamera e di visualizzare senza particolari problemi il rullino foto nel corso delle ultime ore è stato identificato un ulteriore bug in iOS 7.

È stato infatti identificato un nuovo bug che sta causando non pochi problemi agli utenti che utilizzano diverse applicazioni di terze parti, come ad esempio Mailbox e PayPal, i quali si vedono costretti a dover effettuare continui login di accesso.

La causa di tutto sembra essere imputabile alla nuova funzione inserita nel neo sistema operativo per device mobile di Cupertino che consente di aggiornare in background le app presenti sugli iDevice.

iOS 7, scovato un bug nella schermata di blocco

Dal lancio di iOS 7 sono trascorsi pochissimi giorni ma nonostante ciò è già stato scovato un pericoloso bug in grado di mettere a rischio la sicurezza degli iDevice aggiornati alla nuova versione del sistema operativo mobile di casa Apple.

Il problema è stato confermato anche dalla stessa azienda di Cupertino che ha fatto sapere alla redazione di AllThingsD di essere già al lavoro per porre rimedio alla situazione cercando di rilasciare nel più breve tempo possibile un aggiornamento del firmware.

A finire nell’occhio del ciclone è la schermata di blocco. Il bug scovato consente infatti di bypassare la lockscreen nonostante sia presente un codice di accesso al dispositivo e di accedere senza problemi alla fotocamera ma sopratutto al rullino foto.

Apple, iOS 7 corregge il bug malware dei caricatori Lightning

A giugno dell’anno corrente un gruppo di ricercatori del Georgia Institute of Technology aveva messo in evidenza quanto i cellulari di ultima generazione potessero essere vulnerabili ponendo l’accennato su una falla hardware scovata durante l’utilizzo dei cavi Lightning.

In occasione dell’ultima conferenza Black Hat i ricercatori hanno infatti dimostrato la possibilità di iniettare del codice malevolo in iOS utilizzando un apposito caricatore modificato ribattezzato con il nome di Mactans.

Nel dettaglio, utilizzando un cavo Lightning con circuiti di controllo opportunamente modificati in poco meno di un minuto un eventuale malintenzionato potrebbe bypassare le barriere software alla connettività seriale di un iPhone o di un iPad ed iniettare del codice malevolo nell’iDevice passando come un programma di legittima installazione.

Bug Android, Google ha sviluppato un’apposita patch

Qualche giorno fa Bluebox Security ha pubblicato un report indicante l’esistenza di una grave falla presente sulla quasi totalità dei device basati su Android ed insita nella piattaforma sin dalla relase Donut.

A tal proposito, da poche ore a questa parte Google ha comunicato di aver sviluppato un’apposita patch. L’aggiornamento è già stato inviato ai produttori di dispositivi Android che provvederanno a loro volta a distribuirlo agli utenti.

Pur essendo stata rilasciata la patch è tuttavia opportuno sottolineare il fatto che molti utenti Android sono ancora in pericolo.

Dropbox, scovato bug nel sistema di autenticazione in due passaggi

Al pari di molti altri servizi online anche Dropbox mette a disposizione dei suoi utilizzatori un sistema di autenticazione a due fattori basato, appunto, sull’utilizzo non solo di un username e di una password ma anche di un ulteriore livello di autenticazione solitamente corrispondente ad un codice inviato tramite SMS o fornito mediante una chiamata al proprio numero di cellulare.

Nel corso delle ultime ore è stata però diffusa la notizia che il team di Q-CERT ha scoperto una vulnerabilità grazie alla quale è possibile bypassare il sistema di sicurezza a due passaggi di Dropbox sfruttando l’assenza di controllo sulla validità dell’indirizzo di posta elettronica.

Detta in altri termini per “farla franca” basta effettuare il login utilizzando un account simile a quello dell’utente che si intende attaccare.

Dropbox, infatti, non controlla l’autenticità dell’indirizzo di posta elettronica durante il processo di registrazione ragion per cui è sufficiente aggiungere un punto all’email per aggirare il sistema di autenticazione a due passaggi. Ad esempio se l’indirizzo email relativo ad uno specifico account Dropbox è facciamounaprova@gmail.com si potrà quindi digitare facciamouna.prova@gmail.com.

Android, una grave falla affligge il 99% dei dispositivi

La quasi totalità dei dispositivi basati su Android sono a rischio ma questa volta a mettere a repentaglio la sicurezza della piattaforma mobile del robottino verde non è nè un’applicazione infetta nè una nuova minaccia bensì un bug insisto nel sistema operativo sin dalla relase 1.6.

È esattamente quoto quanto emerso da un report di Bluebox Security mediante il quale è stato possibile apprendere che tale falla è presente sulla piattaforma mobile di big G sin dalla relase conosciuta con il nome di Donut, quella rilasciata a settembre del 2009, e che oggi rende potenzialmente vulnerabile al codice maligno circa il 99% dei dispositivi Android in commercio.

Generalmente le applicazioni sono verificate mediante un sistema di firme crittografiche che consente di evitare l’esecuzione di aggiornamenti non aventi la medesima chiave fornita dallo sviluppatore. Bluebox Security ha fatto sapere di aver scoperto come modificare il file APK senza andare ad agire sulla parte di codice in questione.

Nel caso in cui a sfruttare tale metodo siano eventuali malintenzionati questi potrebbero consentire l’invio agli utenti di pacchetti corrotti o pericolosi. Tali pacchetti potrebbero dunque essere installati all’insaputa dell’utente.

Facebook, esposti 6 milioni di numeri di telefono e indirizzi email

Nella giornata di ieri, Facebook ha annunciato la presenza di un grave bug nel sistema di download dei dati personali che “potrebbe aver consentito l’accesso ad alcune informazioni personali degli utenti (email o numero di telefono) da parte di persone che erano in possesso di alcune informazioni o erano in connessione con questi ultimi”.

Google Stars, spuntano nuovi ed interessanti dettagli

Google, 7 giorni per correggere i bug

D’ora in avanti a seguito della scoperta di gravi vulnerabilità su software e servizi altrui Google attenderà soltanto 7 giorni prima di comunicare pubblicamente il tutto.

I vendor avranno quindi a disposizione una settimana, a partire dalla notifica dell’avvenuta vulnerabilità, per poter rimediare agli errori fatti.

Trattasi di una nuova policy del protocollo di intervento di big G comunicata dall’azienda mediante la pubblicazione di un apposito post sul blog ufficiale e consequenziale alla volontà del colosso delle ricerche in rete di voler porre rimedio il prima possibile alle vulnerabilità andando dunque a garantire un maggior grado di sicurezza agli utenti.

Cercare di ridurre il più possibile il tempo di esposizione di una vulnerabilità zero-day è, secondo il team del gran colosso delle ricerche in rete, il modo migliore per minimizzare l’esposizione dell’utenza ai pericoli maggiori.

Robert Kugler scopre falla PayPal nessuna remunerazione

PayPal, segnalata vulnerabilità ma niente rimborso

Alcuni hanno già sentito nominare in altre occasioni Robert Kugler in fatto sicurezza ma la vicenda salita agli onori della cronaca nel corso delle ultime ore è sicuramente ben più singolare delle altre.

La vicenda, nel dettaglio, riguarda tale Robert Kugler, PayPal ed una grave vulnerabilità.

Infatti, pur avendo segnalato a PayPal una grave falla il giovane non ha avuto accesso ai rimborsi promessi dalla celebre società operante in rete.

Il 19 maggio dell’anno corrente Robert Kugler ha inviato a PayPal una segnalazione relativa ad una grave falla potenziale nel sistema di pagamento.

Robert Kugler ha segnalato, nello specifico, una vulnerabilità di tipo cross-site scripting (XSS) che avrebbe potuto permettere ad eventuali malintenzionati attacchi di varia tipologia, il che se già in generale risulta abbastanza pericoloso in riferimento a PayPal e ai suoi servizi lo appare ancor di più.

+ Leggi tutto