vulnerabilità

Wi-Fi, una nuova vulnerabilità mette a rischio i router

Vulnerabilità router Wi-Fi

Stefan Viehbock, ricercatore di sicurezza, ha recentemente preso di mira il sistema Wi-Fi Protected Setup, una tecnologia adottata da numerosi produttori di router wireless per semplificare la procedura di collegamento di vari ed eventuali dispositivi, scoprendo una falla che, a quanto pare, risulta essere molto pericolosa.

La tecnologia in questione, infatti, può essere attaccata da eventuali malintenzionati con estrema semplicità e nel giro di breve tempo, da un paio d’ore al massimo di un giorno nel caso dei router “più resistenti”.

Ad essere sotto accusa, nello specifico, è il meccanismo di autenticazione di WPS basato su codici PIN mediante cui i vari device hanno l’opportunità di autenticarsi al router Wi-Fi fornendo un apposito codice costituito da otto cifre.

Infatti, ad ogni tentativo di accesso il dispositivo oggetto dell’attenzione restituisce un messaggio EAP-NACK che avvisa il destinatario in merito l’eventuale riuscita della procedura di autenticazione e proprio in tale messaggio sarebbe presente una falla.

Allarme sicurezza per la rete GSM: scovata una nuova vulnerabilità

Nuova vulnerabilità rete GSM

La notizia ha iniziato a diffondersi a macchina d’olio e l’allerta arriva direttamente dai Security Research Labs di Berlino che, nelle ultime ore, hanno scoperto una nuova e grave vulnerabilità nella rete GSM, il network di comunicazione cellulare di prima generazione che, ancora oggi, è impiegato su larga scala, grazie alla quale un hacker può, all’insaputa dell’utente, effettuare chiamate ed inviare SMS, il tutto, ovviamente, a spese dell’effettivo proprietario del device.

Il bug in questione è di tipo software e, a quanto pare, risulta presente nelle infrastrutture mobile di ben 32 operatori telefonici di 11 differenti paesi tra cui risulta compresa anche l’Italia.

Per verificare la presenza del bug Karsten Nohl, esperto di sicurezza mobile e responsabile dei Security Research Labs, ha sfruttato un cellulare Motorola di vecchia data unitamente ad un tool apposito mediante cui è riuscito a decifrare le chiavi impiegate dagli operatori per stabilire una connessione tra la rete GSM ed il device impiegato.

Windows Phone, grave falla nel sistema di messaggistica

Il sito Internet WinRumors ha scovato una grave falla nel sistema di messaggistica di Windows Phone. Inviando un SMS appositamente progettato al telefono della vittima, lo smartphone si riavvia automaticamente e al rientro dal reboot non è più in grado di far partire l’applicazione per gli SMS.

Il problema non è legato a singoli dispositivi ma al sistema con il quale Windows Phone gestisce i messaggi. È stato infatti riscontrato su diversi dispositivi e su diverse versioni dell’OS (compreso il recente “Mango”). Inoltre, a quanto pare, affligge anche l’invio dei messaggi sulla chat di Facebook e Windows Libe Messenger.

Windows 7/Vista, scoperta una nuova falla critica. Patch già disponibile

A pochi giorni dalla scoperta di una vulnerabilità che permette di prendere il controllo del sistema tramite un font farlocco, Windows cade vittima di un’altra falla critica che non mancherà di suscitare discussioni e polemiche per la sua banalità. Anche perché presente nei nuovi e robusti Windows 7 e Vista mentre assente nel (quasi) pensionato Windows XP.

La vulnerabilità è quella descritta nel bollettino di sicurezza MS11-083, la quale permette “l’esecuzione di codice in modalità remota se un utente malintenzionato invia un flusso continuo di pacchetti UDP appositamente predisposti a una porta chiusa in un sistema di destinazione“. Tradotto in parole povere, basta inviare dei pacchetti UDP malevoli ad una porta chiusa del sistema e si prende pieno controllo di quest’ultimo.

Microsoft rilascia un fix temporaneo per la vulnerabilità dei font di Windows

Come detto ieri, è stata scoperta una nuova vulnerabilità nel kernel di Windows che permette di infettare il sistema attraverso un font malevolo. Microsoft è al lavoro per trovare una soluzione definitiva alla falla, ma nel frattempo ha pubblicato un nuovo bollettino di sicurezza con un fix temporaneo al problema che permette di evitare rischi fino a quando non sarà rilasciata una patch di correzione vera e propria.

Per applicare il fix basta collegarsi alla pagina con il nuovo bollettino di sicurezza di Microsoft, cliccare sul pulsante Fix It collocato sotto la dicitura Enable ed avviare l’applicativo scaricato: una spunta su Accetto, un click su Avanti e avrete tamponato il problema su tutte le versioni di Windows, momentaneamente, ripetiamo. Dopo il salto, una spiegazione per i veri geek con le procedura manuale per tamponare il problema senza usare il fix di Microsoft su tutte le versioni di Windows.

Windows, una nuova vulnerabilità permette di infettare il sistema con un font

Il virus di origine militare DuQu ha permesso di scoprire una nuova falla in Windows che sfrutta il meccanismo di riconoscimento dei font per infettare il sistema. Secondo quanto si legge nel bollettino di sicurezza 2639658 pubblicato ieri sul sito di Microsoft, per colpire Windows basterebbe aprire un allegato ricevuto via email.

L’allegato incriminato sarebbe un documento di Word “infarcito” con un font malevolo che, non appena viene interpretato da Windows, permette ai malintenzionati di installare programmi; visualizzare, modificare o cancellare dati; oppure creare nuovi account con tutti i permessi sul computer in uso. Un bel pericolo, insomma.

Pass-O-Meter, testare l’effettivo livello di vulnerabilità delle password

Utilizzare una password sicura, considerando i tempi che corrono, costituisce sempre più una vera e propria necessità al fine di preservare l’accesso a dati ed informazioni di una certa rilevanza.

Spesse volte, però, si tende a sottovalutare l’effettivo grado di affidabilità derivante dall’impiego di uno specifico insieme di caratteri alfanumerici che, a seconda dei diversi utilizzi e, sopratutto, delle diverse circostanze, potrebbero risultare più o meno efficaci.

Onde evitare di andare incontro a brutte sorprese risulterebbe quindi piuttosto utile testare l’effettiva sicurezza delle proprie password servendosi di un apposito ed fficiente strumento accessibile direttamente dal proprio desktop quale lo è Pass-O-Meter.

Microsoft Patch Tuesday Febbraio 2011: corrette tante vulnerabilità, tranne quella MHTML


Dopo l’esile carico di patch di gennaio, Microsoft saluta il secondo mese dell’anno con un Patch Tuesday di quelli coi fiocchi: sono ben 12 i rattoppi rilasciati ieri sotto l’etichetta di “critical” e “important”, con alcuni accorgimenti extra riguardanti perfino Windows 7 SP1 (che non è stato ancora rilasciato ufficialmente).

A generare qualche brusio, però, non è stata la corposità dell’aggiornamento (giustificato anche dall’imminente Pwn2own 2011, in cui Microsoft vuole fare buona figura) ma la mancanza in esso della patch più attesa, quella per l’ormai famigerata vulnerabilità MHTML che affligge tutte le versioni di Windows.

Internet Explorer è più sicuro di Chrome e Firefox, dice Bit9. Intanto esce IE9 Tech Preview 7

Giornata campale, quella di ieri, per Internet Explorer. Stranamente senza brutte notizie per il browser di Microsoft.

Innanzitutto, è uscita la Tech Preview 7 di Internet Explorer 9 che pare aumentare notevolmente le prestazioni del nuovo motore javascript di IE (Chakra). Poi – e questa è la vera notizia del giorno – è stato pubblicato uno studio che sembrerebbe confermare quanto Secunia, tra infinite polemiche, aveva già certificato qualche mese fa, ossia che Internet Explorer è meno vulnerabile degli altri browser.

Internet Explorer? È meno vulnerabile degli altri browser

Provate a fermare un geek per strada e a dirgli questa frase: “Internet Explorer è il browser più sicuro del mondo”, questo si rotolerà in terra colto da crampi allo stomaco per le troppe risate. Eppure i risultati delle ricerche Secunia riguardanti il periodo giugno 2009-giugno 2010 sembrerebbero dire altro, ossia che nell’ultimo anno il tanto vituperato IE è stato soggetto a meno CVE (vulnerabilità ed esposizioni comuni) di tutti i suoi principali concorrenti.

Dati alla mano, Internet Explorer è nono nella top 20 dei software più vulnerabili dell’anno, mentre Firefox, Safari e Chrome figurano, rispettivamente, al primo, secondo e quarto posto nella graduatoria dei programmi più vulnerabili fra quelli non prodotti dall’azienda di Redmond. Nella tabella che segue, la classifica completa.

Damn Vulnerable Linux, il sistema operativo meno sicuro del mondo

Uno dei dubbi più annosi del mondo geek è sicuramente quello riguardante la sicurezza dei vari sistemi operativi. Windows è più sicuro di OS X? Qual è più affidabile fra Linux e Windows? Sarà più vulnerabile un Mac o un sistema Linux? Domande alle quali, ammettiamolo, è praticamente impossibile dare una risposta certa. Almeno fin quando non si ha la ventura di avere a che fare con Damn Vulnerable Linux, il sistema operativo meno sicuro del mondo.

Sì, cari amici, avete letto bene. Damn Vulnerable Linux è – come recita anche la sua presentazione ufficiale – tutto quello che una buona distribuzione Linux non dovrebbe essere. Un’accozzaglia di software obsoleto, mal configurato e soggetto ad exploit, che rende il sistema vulnerabile ad attacchi informatici di ogni grado di pericolosità.

Sappiamo già cosa state pensando: Microsoft avrà deciso di sviluppare una sua distro Linux e questo è il risultato. No, tranquilli. Damn Vulnerable Linux (abbreviato DVL) è molto più semplicemente una versione speciale del sistema del pinguino studiata per far impratichire gli studenti di sicurezza informatica.

Office 2010, scoperte le prime due vulnerabilità e Microsoft s’inalbera

Volete far arrabbiare Microsoft? Individuate una falla di sicurezza nei suoi prodotti e comunicatelo al mondo senza avvertire Ballmer e soci. Proprio come ha fatto Vupen Security, un’azienda abbastanza attiva nel campo della sicurezza informatica (130 le vulnerabilità scoperte nel solo 2010), che sul suo blog ha pubblicato la notizia relativa all’individuazione delle prime due falle di sicurezza in Office 2010 senza comunicare la cosa ai diretti interessati, che si sono – forse giustamente – risentiti.

Secondo quanto si apprende dal post della Vupen, i ricercatori sono riusciti a creare “un codice exploit che funziona su Office 2010, bypassando il DEP (Data Execution Prevention) e la funzione di validazione dei file di Office” sfruttando “un problema di corruzione della memoria che affigge Excel”.

I dettagli tecnici della vulnerabilità non sono stati ancora pubblicati né riferiti a Microsoft, ma gli esperti di Vupen Security assicurano: “è stata scoperta una seconda vulnerabilità in Office 2010 (questa volta in Word), e contiamo di scoprirne altre nei prossimi giorni”. Anche in questo caso, i dettagli tecnici li conoscono solo loro.

Mozilla rilascia Firefox 3.5.4, corrette alcune vulnerabilità di sicurezza

Mozilla Firefox

Il team di Mozilla Firefox ha appena rilasciato una nuova versione del celeberrimo browser opensource, la 3.5.4, la cui installazione è caldamente consigliata a causa della correzione di alcune gravi falle di sicurezza riscontrate dal team. Oltre alla correzione delle vulnerabilità è stata migliorata la stabilità del browser, fixati alcuni bug minori ed applicate delle patch generiche per piccoli problemi di poco conto. Dopo il salto, trovate l’elenco dei problemi corretti.

+ Leggi tutto