vulnerabilità – Pagina 2

Dropbox, corretta la falla degli shared link vulnerabili

Nel corso degli ultimi giorni il team di Dropbox ha fatto sapere di aver effettuato la correzione di una vulnerabilità che poteva permettere a siti web di terze parti di accedere ai dati degli utenti.

La squadra alle spalle del celebre servizio di cloud storage aveva infatti scoperto una falla nella funzionalità shared link dello stesso, quella grazie alla quale gli utenti possono condividere file e cartelle, che un eventuale malintenzionato avrebbe potuto sfruttare per compiere azioni decisamente poco raccomandabili.

Internet Explorer: Microsoft corregge il bug, anche su Windows XP

Internet Explorer: Microsoft corregge la falla, anche su Windows XP

Nei giorni scorsi la notizia di una grave vulnerabilità insita in Internet Explorer aveva scatenato il panico tra gli utenti. Nel fine settimana da poco terminato Microsoft ha però provveduto a rimediare alla cosa rilasciando un’apposita patch di sicurezza.

Il fatto che diversi governi abbiano suggerito di non utilizzare Internet Explorer e di sfruttare un browser web alternativo, quello che la vulnerabilità fosse già stata utilizzata in alcuni exploit e l’ampiezza della base vulnerabilie hanno infatti costretto Microsoft a derogare anche al solito rilascio dei bollettini il secondo martedì del mese.

Ad annunciare la notizia è stata Adrienne Hall, il capo del team di sicurezza di Microsoft, mediante la pubblicazione di un apposito post sul blog ufficiale dell’azienda. Oltre a giustificare l’estensione delle correzioni anche a Windows XP (sorpresa!) con la vicinanza alla fine del supporto per l’OS nel post viene affermato che le preoccupazioni riguardanti la vulnerabilità sono state eccessive e che il numero degli attacchi che hanno sfruttato la vulnerabilità è stato limitato.

Internet Explorer, grave vulnerabilità nelle versioni dalla 6 alla 11

Brutta, anzi bruttissima situazione quella con la quale si ritrovano a dover fare i conti gli utenti del browser web di Redmond da qualche ora a questa parte. Direttamente dai laboratori Microsoft (su segnalazione dei ricercatori FireEye) giunge infatti la notizia della scoperta di una falla che mette a rischio l’utente utilizzante Internet Explorer e che va a coinvolgere tutte le versioni dello stesso che attualmente risultano presenti sulla piazza, dalla 6 alla 11.

Il problema, stando a quanto emerso, è insito nel modo in cui Internet Explorer cerca di accedere a oggetti precedentemente rimossi o mal allocati. In tal modo un malintenzionato ha dunque la possibilità di agire da remoto sul sistema vulnerabile portando all’esecuzione di codice arbitrario.

L’exploit agisce inoltre in modo particolarmente pericoloso poiché è sufficiente una visita ad un sito appositamente sviluppato per portare il codice maligno ad agire sul browser. Bastano dunque un click su un apposito link contenuto in una mail spam, uno su un link truffaldino inviato tramite chat e vari altri escamotage per far cadere gli utenti in facili trappole.

Pwn2Own 2014: “cadono” tutti i browser

Questa volta non se n’è salvato manco uno. Durante il Pwn2Own 2014, celebre contest di hacking che si tiene ogni anno a Vancouver, sono “caduti” tutti i principali browser Web: quello preso maggiormente di mira è stato Firefox ma gli altri non se la sono cavata tanto meglio. Internet Explorer, Chrome, Safari, sono stati tutti “bucati” consentendo ai propri “carnefici” di portarsi un bel po’ di soldini in casa.

WhatsApp è ora compatibile con gli smartwatch Android Wear

WhatsApp: la vulnerabilità è inesatta, i messaggi non sono a rischio

Nel corso delle ultime ore è emersa online una notizia che ha fatto tremare, e non poco, tutti gli utilizzatori di WhatsApp, in maniera particolare gli utenti Android. Uno sviluppatore olandese, Bas Bosschert, ha infatti reso noto di aver scoperto una vulnerabilità in grado di mettere qualsiasi malintenzionato in condizione di accedere ai messaggi personali degli utilizzatori che si servono della famosa app di messaggistica recentemente acquisita da Facebook.

WhatsApp ha però provveduto a rilasciare un apposito comunicato con il quale si spoglia di ogni responsabilità in tal senso sostenendo che il report dello sviluppatore è impreciso e che il problema si può verificare con qualsiasi app contente malware.

Snapchat: rubati 4,6 milioni di username e numeri telefonici

Poco prima che il 2013 volgesse al termine il gruppo di hacker “etici” Gibson Security ha pubblicato un report testimoniante la non totale sicurezza di Snapchat in fatto di privacy degli utenti.

Nel corso delle ultime ore i “sospetti” di Gibson Security si sono però trasformati in realtà trovando riscontro in un attacco hacker tanto preoccupante quanto degno di nota. I numeri di telefono ed i nomi di oltre 4,6 milioni di utenti Snapchat del Nord America sono stati pubblicati online.

Su SnapchatDB, un sito web non ufficiale gestito da un team di hacker anonimi, è stato infatti concesso l’accesso per parecchie ore a due file contenti dettagli sugli utenti che utilizzano la celebre app di instant messagging.

Snapchat, privacy degli utenti a rischio hacker

Snapchat, l’app per smartphone con la quale è possibile inviare messaggi a tempo e che nel corso degli ultimi tempi sta riscuotendo gran successo al punto tale da aver attirato anche l’attenzione del buon Zuck (e non solo), ha cominciato a destare qualche preoccupazione in fatto di privacy e sicurezza. Già da qualche tempo, infatti, circolano in rete diverse voci in merito all’esistenza di una vulnerabilità che permetterebbe ad eventuali malintenzionati di recuperare facilmente informazioni sui contatti presenti all’interno del device sui quali l’app è in uso.

Tali voci hanno ora trovato conferma in un report recentemente pubblicato da Gibson Security, un gruppo di cosiddetti “hacker etici”, secondo cui, appunto, Snapchat sarebbe tutt’altro che un’app sicura e che qualora lo volesse un hacker potrebbe riuscire ad individuare, mediante la funzione Trova amici, ben 10.000 contatti in soli 7 minuti racimolando addirittura altri 5.000 numeri in un solo minuto aggiuntivo.

Gli smartphone Nexus sono vulnerabili agli attacchi DDOS via SMS

Allerta per i possessori degli smartphone appartenenti alla gamma Nexus di Google: il ricercatore di sicurezza Bodgan Alecu ha scoperto che i device mobile targati big G sono affetti da una vulnerabilità che li espone ad attacchi di tipo denial-of-service, detta in breve DDOS, che risultano basati su uno specifico tipo di SMS.

Stando a quanto emerso l’attacco risulta basato sui Flash SMS, un particolare tipo di messaggio breve noto anche come Class 0 SMS che appare direttamente sul display del dispositivo senza dover essere memorizzato nella casella inbox, che proprio per tale ragione risulta impossibile non aprire e che sugli smartphone Nexus viene visualizzato su qualsiasi finestra attiva presentando uno sfondo nero semi-trasparente.

Dopo la ricezione di una trentina di Flash SMS inviati in rapida successione i Nexus, così come fatto notare dal ricercatore, cominciano a comportarsi in modo anomalo presentando episodi di riavvio, freezer e crash. Inoltre, nel caso in cui la scheda SIM in uso risulti protetta da un codice PIN lo smartphone non si connette alla rete.

SIM Card: una su otto è vulnerabile, scovato un grave bug di sicurezza

Dopo ben tre anni di studi e di esperimenti il ricercatore tedesco Karsten Nohl ha dichiarato, proprio nel corso delle ultime ore, di essere pronto ad illustrare all’industria quella che ha suo parere è una vulnerabilità di gravissimo impatto potenziale sull’intero mondo della telefonia.

Karsten Nohl ha dichiarato che una SIM su otto è vulnerabile ad uno specifico tipo di attacco che potrebbe permettere ad un eventuale malintenzionato di far eseguire operazioni ad un telefono agendo direttamente da remoto. Se si ipotizza l’esistenza di circa 5 miliardi di SIM in tutto il mondo la proiezione è di circa 600 milioni di SIM a rischio.

La vulnerabilità sta destando non poca preoccupazione non solo per il rischio elevato ed imminente ma anche per il tempo necessario per la risoluzione del caso e per il rilascio della patch mediante cui poter correggere il problema emerso.

La vulnerabilità, spiega il ricercatore, altro non è che il frutto combinato di diverse tecnologie vetuste e software mal implementati, due elementi questi che combinati insieme potrebbero consentire di aggirare le sicurezze di una normale SIM Card mediante il solo invio di un SMS ad un utente.

Dropbox, scovato bug nel sistema di autenticazione in due passaggi

Al pari di molti altri servizi online anche Dropbox mette a disposizione dei suoi utilizzatori un sistema di autenticazione a due fattori basato, appunto, sull’utilizzo non solo di un username e di una password ma anche di un ulteriore livello di autenticazione solitamente corrispondente ad un codice inviato tramite SMS o fornito mediante una chiamata al proprio numero di cellulare.

Nel corso delle ultime ore è stata però diffusa la notizia che il team di Q-CERT ha scoperto una vulnerabilità grazie alla quale è possibile bypassare il sistema di sicurezza a due passaggi di Dropbox sfruttando l’assenza di controllo sulla validità dell’indirizzo di posta elettronica.

Detta in altri termini per “farla franca” basta effettuare il login utilizzando un account simile a quello dell’utente che si intende attaccare.

Dropbox, infatti, non controlla l’autenticità dell’indirizzo di posta elettronica durante il processo di registrazione ragion per cui è sufficiente aggiungere un punto all’email per aggirare il sistema di autenticazione a due passaggi. Ad esempio se l’indirizzo email relativo ad uno specifico account Dropbox è facciamounaprova@gmail.com si potrà quindi digitare facciamouna.prova@gmail.com.

Windows 8.1 Preview, fino a 100 mila dollari per ogni bug scoperto

Nel corso delle ultime ore Microsoft ha annunciato una nuova iniziativa dedicata a tutti i ricercatori di sicurezza e agli hacker dell’intero globo terrestre il cui fine consiste nell’individuare le vulnerabilità di Windows 8.1 Preview, la versione dell’OS della redmondiana che verrà distribuita il prossimo 26 giugno durante la conferenza Build 2013.

Per ogni falla scoperta i ricercatori di sicurezza e gli hacker riceveranno un premio in denaro. Nel caso in cui venga suggerito un sistema mediante cui far fronte all’effetto dell’exploit sarà inoltre possibile ottenere un interessante bonus sempre in denaro.

Lo stesso discorso vale anche per Internet Explorer 11 Preview. Anche in questo caso qualora vengano scoperte vulnerabilità Microsoft provvederà a ripagare i cacciatori di bug con un interessante premio monetario.

Il prezzo pagato da Microsoft per una vulnerabilità critica è abbastanza elevato. I software moderni, infatti, utilizzano tecniche di sicurezza che rendono tanto costosa quanto complessa la realizzazione di un exploit.

Google Stars, spuntano nuovi ed interessanti dettagli

Google, 7 giorni per correggere i bug

D’ora in avanti a seguito della scoperta di gravi vulnerabilità su software e servizi altrui Google attenderà soltanto 7 giorni prima di comunicare pubblicamente il tutto.

I vendor avranno quindi a disposizione una settimana, a partire dalla notifica dell’avvenuta vulnerabilità, per poter rimediare agli errori fatti.

Trattasi di una nuova policy del protocollo di intervento di big G comunicata dall’azienda mediante la pubblicazione di un apposito post sul blog ufficiale e consequenziale alla volontà del colosso delle ricerche in rete di voler porre rimedio il prima possibile alle vulnerabilità andando dunque a garantire un maggior grado di sicurezza agli utenti.

Cercare di ridurre il più possibile il tempo di esposizione di una vulnerabilità zero-day è, secondo il team del gran colosso delle ricerche in rete, il modo migliore per minimizzare l’esposizione dell’utenza ai pericoli maggiori.

Robert Kugler scopre falla PayPal nessuna remunerazione

PayPal, segnalata vulnerabilità ma niente rimborso

Alcuni hanno già sentito nominare in altre occasioni Robert Kugler in fatto sicurezza ma la vicenda salita agli onori della cronaca nel corso delle ultime ore è sicuramente ben più singolare delle altre.

La vicenda, nel dettaglio, riguarda tale Robert Kugler, PayPal ed una grave vulnerabilità.

Infatti, pur avendo segnalato a PayPal una grave falla il giovane non ha avuto accesso ai rimborsi promessi dalla celebre società operante in rete.

Il 19 maggio dell’anno corrente Robert Kugler ha inviato a PayPal una segnalazione relativa ad una grave falla potenziale nel sistema di pagamento.

Robert Kugler ha segnalato, nello specifico, una vulnerabilità di tipo cross-site scripting (XSS) che avrebbe potuto permettere ad eventuali malintenzionati attacchi di varia tipologia, il che se già in generale risulta abbastanza pericoloso in riferimento a PayPal e ai suoi servizi lo appare ancor di più.

Secunia report vulnerabilità Windos 2012

Secunia, Google Chrome è stato il software più vulnerabile del 2012

Diversamente da quel che potrebbe pensare la maggiore parte degli utenti i principali pericoli per la sicurezza non provengono dalle applicazione made in Redmond ma aggiudicarsi il titolo di veri colpevoli della diffusione di malware sono i software di terze parti, in primis Google Chrome.

È esattamente questo quanto emerge dal Vulnerability Review 2013 di Secunia, un report su quelle che sono le vulnerabilità individuate nel corso del 2012 in vari prodotti e sulle patch che sono state rilasciate dalle software house.

Sfruttando il tool Persona Software Inspector (PSI) Secunia ha fatto sapere che nel 2012 il mezzo di attacco maggiormente utilizzato è stato l’esecuzione di codice remoto da internet e che sono state registrate ben 9.776 vulnerabilità in 2.503 prodotti di 421 software house, dati questi che segnano un incremento pari al 5% rispetto al 2011.

Se viene limitata l’analisi a quelli che sono i primi 50 prodotti installati cui computer degli utenti si apprende poi che ben 29 sono software Microsoft mentre 21 sono software di terze parti e, di conseguenza, che il numero totale di vulnerabilità individuate nella top 50 è uguale a 1.137 ma che solo il 14% di esse è stato causato dai software di Redmond.

+ Leggi tutto