falla

Microsoft Patch Tuesday Febbraio 2011: corrette tante vulnerabilità, tranne quella MHTML


Dopo l’esile carico di patch di gennaio, Microsoft saluta il secondo mese dell’anno con un Patch Tuesday di quelli coi fiocchi: sono ben 12 i rattoppi rilasciati ieri sotto l’etichetta di “critical” e “important”, con alcuni accorgimenti extra riguardanti perfino Windows 7 SP1 (che non è stato ancora rilasciato ufficialmente).

A generare qualche brusio, però, non è stata la corposità dell’aggiornamento (giustificato anche dall’imminente Pwn2own 2011, in cui Microsoft vuole fare buona figura) ma la mancanza in esso della patch più attesa, quella per l’ormai famigerata vulnerabilità MHTML che affligge tutte le versioni di Windows.

Damn Vulnerable Linux, il sistema operativo meno sicuro del mondo

Uno dei dubbi più annosi del mondo geek è sicuramente quello riguardante la sicurezza dei vari sistemi operativi. Windows è più sicuro di OS X? Qual è più affidabile fra Linux e Windows? Sarà più vulnerabile un Mac o un sistema Linux? Domande alle quali, ammettiamolo, è praticamente impossibile dare una risposta certa. Almeno fin quando non si ha la ventura di avere a che fare con Damn Vulnerable Linux, il sistema operativo meno sicuro del mondo.

Sì, cari amici, avete letto bene. Damn Vulnerable Linux è – come recita anche la sua presentazione ufficiale – tutto quello che una buona distribuzione Linux non dovrebbe essere. Un’accozzaglia di software obsoleto, mal configurato e soggetto ad exploit, che rende il sistema vulnerabile ad attacchi informatici di ogni grado di pericolosità.

Sappiamo già cosa state pensando: Microsoft avrà deciso di sviluppare una sua distro Linux e questo è il risultato. No, tranquilli. Damn Vulnerable Linux (abbreviato DVL) è molto più semplicemente una versione speciale del sistema del pinguino studiata per far impratichire gli studenti di sicurezza informatica.

Windows 7, Microsoft lo difende dopo le “brutte figure” del Pwn2Own 2010

A diversi giorni dal suo epilogo, l’eco di quanto accaduto al Pwn2Own 2010 di Vancouver non smette di farsi sentire. Soprattutto dalle parti di Redmond, dove non è andato giù il fatto che due hacker siano riusciti a “bucare” Internet Explorer 8 e Firefox 3.6 bypassando i sistemi di protezione DEP ed ASLR di Windows 7.

A seguito dell’impresa di Peter Vreugdenhil, il ricercatore che ha scoperto due falle di sicurezza nel browser Microsoft mandando input casuali al programma (fuzzing) e oltrepassando le protezioni ASLR e DEP di Windows 7 (in versione 64-bit super-aggiornata), Microsoft ha infatti deciso di difendere pubblicamente il suo sistema operativo pubblicando un post sul blog Windows Team.

Pwn2Own 2010: Chrome ne esce indenne

Per il secondo anno consecutivo, Google esce indenne dal Pwn2Own. La gara hacker di Vancouver si è conclusa così come era iniziata, con tutti i maggiori browser “bucati” nel giro di pochi minuti e con Chrome lasciato da parte perché le sue falle sono troppo difficili da “exploitare”.

Motivo di questo successo è in parte attribuibile all’efficace sistema di sandboxing che “big G” ha incluso nel suo navigatore. Quest’ultimo costringe Chrome a girare in un ambiente protetto che – per dirla in parole povere – non consente ai processi del programma di leggere o scrivere file nelle parti sensibili del sistema.

Sano è salvo è anche Android, il sistema operativo di Google per gli smartphone, che al contrario di quello di iPhone – che è stato “forato” in circa 20 secondi – non è stato toccato dai partecipanti al contest. Probabilmente per motivi analoghi a quelli del browser.

Pwn2Own 2010: già bucati tutti i browser, tranne Chrome…

Google Chrome è il browser più difficile da “bucare”, ecco il responso della prima giornata di Pwn2Own 2010. L’ormai notissima sfida tra hacker in fase di svolgimento a Vancouver ha visto crollare uno dopo l’altro tutti i principali browser che usiamo quotidianamente per navigare sul web, meno uno, quello di “big G”, che non è stato ancora messo alla prova. Ma andiamo con ordine.

Il primo navigatore a cadere sotto i colpi degli hacker (senza accesso fisico alla macchina) è stato Safari 4 su Mac OS X Snow Leopard. A far breccia nel software cupertiniano ancora una volta l’immarcescibile Charlie Miller, che già aveva colto in fallo Safari l’anno scorso e che con il risultato di ieri si porta a casa un bel premio di 10.000 dollari.

Diecimila bigliettoni vanno anche all’olandese Peter Vreugdenhil, il quale ha strutturato un attacco su quattro livelli per bypassare le protezioni dei sistemi DEP ed ASLR e “bucare” così Internet Explorer 8 su Windows 7. Secondo quanto dichiarato da Vreugdenhil, ci è voluto meno di una settimana per dar vita all’exploit.

Windows XP: nessuno tocchi F1!

Se utilizzate Windows XP ed Internet Explorer come browser predefinito, sradicate immediatamente il tasto F1 dalla tastiera del vostro PC, fatelo in mille pezzi con un martello, chiudete ciò che ne rimane nel cofano della macchina, salite a bordo dell’auto, dirigetevi a tutta velocità verso il mare, saltate fuori dal veicolo al momento giusto e, mentre questo vola in acqua, sparategli contro tre o quattro colpi di pistola in modo da farlo esplodere. Il tasto F1 non va toccato!

Se poi non siete Steven Seagal e volete semplicemente dormire sonni tranquilli non incappando nell’ultima falla di sicurezza di XP, seguite la lista di consigli che Microsoft ha stilato in questo bollettino ed evitate di premere il tasto F1 della tastiera del computer quando un sito Internet ve lo chiede.

Potrebbe trattarsi di un trappola architettata da un malintenzionato per sfruttare la vulnerabilità della guida in linea di Windows scoperta dal ricercatore polacco Maurycy Prodeus qualche giorno fa e confermata dal colosso di Redmond.

Pwn2Own 2010, chi verrà “bucato” per primo?

Centomila dollari, suddivisi in due premi da quarantamila e sessantamila bigliettoni. Ecco la spaventosa cifra messa a disposizione dalla società di sicurezza TippingPoint agli hacker che a Vancouver, dal prossimo 24 marzo, si sfideranno al Pwn2Own 2010, per “bucare” i browser e i cellulari più “in” del momento.

Come tutti voi ben saprete, il Pwn2Own è una delle manifestazioni tra più interessanti del mondo informatico, nel corso della quale una nutrita selezione di hacker – esperti e meno esperti – fa a gara per mettere a nudo le falle di sicurezza presenti in alcuni dei prodotti software più usati al mondo.

Quest’anno, però, le attenzioni dei concorrenti non dovranno concentrarsi solo sui “soliti” browser Web (IE, Firefox, Chrome e Safari), bensì anche sui cellulari di ultima generazione: iPhone 3GS, Blackberry Bold 9700, Nokia E62 e Motorola Droid su tutti (anche se gli ultimi due non sono ancora confermati al 100%). E sarà proprio chi riuscirà a scovare “il difetto” in questi graziosi dispositivi mobili che intascherà il premio più alto, quello da 60.000$.

Microsoft: turata la falla del “bug cinese” in IE, confermata una vulnerabilità storica di Windows

Voi, che state redigendo una tesi di laurea sulla fenomenologia dell’ascella pezzata; voi, che state scrivendo un’e-mail di scherno ai vostri amici juventini; e voi, che state ammirando le ultime prodezze di Rocco Siffredi sul computer dell’ufficio, fermatevi. Installate subito l’aggiornamento KB978207 per Internet Explorer e riavviate il computer.

Microsoft ha finalmente rilasciato il rattoppo che tutto il mondo stava aspettando, quello per la falla che ha causato il tanto discusso scontro fra Google e Pechino. La patch, che integra anche altre sette correzioni per il browser programmate da tempo, riguarda tutte le versioni di IE, dalla 6 alla 8, e le versioni di Windows dal 2000 al 7.

Ma i problemi di sicurezza in quel di Redmond non finiscono qua. Incredibile ma vero, Windows ha una falla di sicurezza aperta da 17 anni, dai tempi di NT 3.1, e a confermarlodopo la pubblicazione del bug da parte di Tavis Ormandy (che lavora per Google, sic!) – è stata la stessa azienda guidata da Ballmer.

Il “bug cinese” di IE fa volare Firefox: è record di download

Tra i due litiganti, il terzo gode. Scusate il commento poco originale con cui apriamo questo post, ma non avremmo saputo trovare frasi più efficaci per commentare quanto sta accadendo in questi giorni nel mondo dei browser.

Pare infatti che, al contrario di quanto in molti si sarebbero aspettati, a godere del cono d’ombra proiettato su Internet Explorer dall’affair cinese – quello che vede un bug del navigatore Microsoft come principale causa delle intrusioni hacker che hanno portato allo scontro tra Google e il governo cinese – non sia stato Google Chrome, ma Firefox.

Ad annunciare un inatteso record di download per il browser del panda rosso è stato Ken Kovash, direttore delle statistiche di Mozilla, il quale non ha nascosto il ruolo fondamentale del governo tedesco – che ha sconsigliato pubblicamente l’utilizzo di IE – nella faccenda: «Nei giorni scorsi abbiamo registrato un enorme incremento di download da utenti IE provenienti dalla Germania».

Internet Explorer “bandito” in Germania e Francia. Il piano oscuro di Google si realizza?

Nelle ultime ore sono successe cose che nemmeno il più ardito supporter di Mac o Linux avrebbe osato sognare. I governi di Germania e Francia hanno sconsigliato pubblicamente l’utilizzo di Internet Explorer, definendolo come un browser poco sicuro.

Tutta colpa dell’ormai celeberrima falla di IE, quella che ha consentito agli hacker cinesi di violare gli account Gmail dei dissidenti e spiare diverse aziende USA, scatenando la guerra tra Google e Cina.

Ma Microsoft non ci sta e di fronte a cotanto clamore cerca di gridare ai quattro venti che la situazione non è catastrofica come la si dipinge. La falla c’è, è vero, ma secondo il gruppo di Redmond sarebbe riferita solo ad Internet Explorer 6. O, meglio, le versioni successive del browser sarebbero anch’esse oggetto della vulnerabilità (Security Advisory 979352), ma in maniera pressoché insignificante per l’utenza comune.

Google VS Cina: tutta colpa di Microsoft… e dei profitti

Google ha cambiato idea, non andrà via dalla Cina. Ma si opporrà a qualsiasi forma di filtro. Microsoft, dal canto suo, si dice perplessa sull’atteggiamento di “big G” e annuncia che resterà nel paese della Grande Muraglia nonostante le censure. Poi arriva il colpo di scena: gli attacchi hacker che hanno fatto infervorare Google sono stati veicolati da una falla di Internet Explorer. Il gruppo di Redmond conferma, ma il rattoppo è ancora lontano dall’essere rilasciato.

Non c’è che dire. L’affair Google VS Cina sta assumendo sempre più i toni di una telenovela. Capirci qualcosa non è facile, ma noi vogliamo provarci. Se anche voi volete tentare la grande impresa, prendeteci per mano e seguiteci in questa landa tormentata fatta di intrighi internazionali, tecnologia e sudore (quello di Ballmer, si capisce).

Cos’è successo

Photo Credits: Endworld

Partiamo dall’inizio. Cos’è che per oltre una settimana ha fatto gridare Google allo scandalo e ha spinto il colosso di Mountain View a minacciare il suo ritiro dal mercato cinese? Una serie di attacchi hacker che hanno preso di mira gli account Gmail di molti dissidenti e i segreti di oltre 30 aziende statunitensi, tra cui la stessa Google. Malgrado non ci siano ancora conferme in merito, sembra che le intrusioni siano state architettate dal governo cinese.

Microsoft ci mette la pezza a tempo record

Qualche giorno fa vi avevamo parlato della brutta falla scovata nel browser di BigM, oggi grazie all’instancabile lavoro dei programmatori possiamo dire che il problema è stato risolto.

In tempi record, solo otto giorni dalla scoperta della vulnerabilità, Microsoft ha rilasciato una patch che risolve il problema. Il chief security advisor di Microsoft Italia, Intini, conferma quanto già noto riguardo la diffusione della vulnerabilità e fa sapere che per poter usufruire della patch sarà necessario aver installato l’ultimo aggiornamento cumulativo.

Internet Explorer cade sotto una pesante falla

A due giorni di distanza dalle ultime patch di sicurezza, Internet Explorer cade sotto una pesante falla che mette a rischio la sicurezza dei PC che utilizzino qualsiasi versione del diffusissimo browser di casa Microsoft.

La falla, sottovalutata dal principio, sarebbe la più grave che abbia colpito il browser negli ultimi tempi. Il pericolo è quello di poter essere raggiunti da malware o cavalli di troia potenzialmente molto pericolosi, generalmente provenienti da domini cinesi progettati appositamente per sfruttare la falla tramite SQL injection.

+ Leggi tutto