vulnerabilità

Rilasciato WordPress 2.8.4, corretta una grave vulnerabilità

WordPress 2.8.4

Come vi abbiamo già anticipato, lo staff di WordPress è stato costretto a rilasciare in tempi brevissimi una nuova versione di WordPress, la 2.8.4, per correggere una grave vulnerabilità che permetteva ad eventuali utenti malintenzionati di resettare la password di qualsiasi utente, compreso l’amministratore. Una volta azzerata, la password veniva inviata via email all’amministratore, o a chiunque altro fosse stato preso di mira dagli utenti malintenzionati. Ciò non consente a terzi di effettuare un accesso a WordPress, ma può risultare estremamente fastidioso.

Disponibile WordPress 2.8.3, corrette ulteriori falle di sicurezza

A poche settimane dal rilascio della versione 2.8.2, lo staff di WordPress rilascia una nuova versione, la 2.8.3, per correggere alcune falle di sicurezza non corrette con la 2.8.1. In sostanza, questa versione estende le modifiche fatte con la versione 2.8.1 sulla possibilità di scalare i privilegi utente, modifiche che purtroppo non avevano coperto tutte le possibili falle di sicurezza. Grazie al duro lavoro della community, ed a una profonda analisi del codice, lo staff di WordPress è riuscito a correggere tutte le falle e a rilasciare la nuova versione.

Come per ogni security release, l’aggiornamento è obbligatorio. Lo staff di WordPress Italy ha rilasciato a tempo di record, soprendendo moltissimi utenti, la versione italiana, già disponibile tramite Aggiornamento Automatico. E’ altamente consigliato aggiornare appena possibile, come d’altronde consigliato dallo stesso staff di WordPress Italy, il quale in un primo tempo aveva dichiarato di poter rilasciare la versione tradotta solo nel weekend, consigliando caldamente a tutti di aggiornare prima alla versione inglese e poi a quella italiana.

MySpace, diverse ondate di Spam negli ultimi giorni

MySpace ondata spam

A quanto pare, nonostante i recenti sforzi per arginare l’inarrestabile decadenza a cui sta andando incontro, MySpace ha ancora molto da fare per tornare ai vecchi tempi in cui il suo nome faceva tremare tutti i possibili rivali. Prova ne sia la recente mega-ondata di spam che ha colpito l’ex Social Network più famoso del mondo, dovuta ad una vulnerabilità che ha permesso a centinaia di spammer di sfruttare migliaia di account per condurre l’attacco.

Molti utenti, effettuando l’accesso al loro account, hanno trovato decine e decine di commenti di spam che non avevano mai inviato ai loro amici, tutti (o quasi) contenenti lo stesso messaggio:

Rilasciato WordPress 2.8.2, corretta una vulnerabilità XSS

A pochi giorni dal rilascio della versione 2.8.1, lo staff di WordPress corre di nuovo ai ripari rilasciando WordPress 2.8.2, a causa di una vulnerabilità XSS prontamente scoperta e fixata. A quanto pare, questa vulnerabilità, sfruttando un problema con gli url degli autori dei commenti, avrebbe permesso a utenti malintenzionati di reindirizzare l’amministratore dal pannello di admin ad un altro sito, a scelta dell’utente in questione.

Microsoft ammonisce, mai abbassare la guardia dai trojan

Mamma Microsoft, nell’annuale presentazione del report sulla sicurezza, ha lanciato l’allarme: non dobbiamo abbassare la guardia nei confronti dei trojan.

Anche se, dati alla mano, le vulnerabilità sono in forte calo, la pericolosità delle minacce è in aumento poichè più facilmente sfruttabili dai “geni del male“. In poche parole i creatori di virus, trojan e malware si stanno specializzando nella creazione di software malefici sempre più sofisticati.

In vetta alla classifica dei paesi più in paricolo di browser exploit c’è stabile la Cina con il 47% dei sistemi a rischio, seguita a ruota dagli USA con il 23%. Ma non solo di browser exploit parla il report di casa Microsoft, il 30% dell’aumento dei file maligni riguarda infatti i soli trojan.

60 servizi web gratuiti per rilevare e rimuovere virus, spyware e malware

Come ribadito in diverse occasioni, l’enorme sviluppo delle applicazioni web in questi ultimi periodi si è concentrato non solo in settori come e-mail, ufficio e comunicazione, ma anche in quello fondamentale della lotta alle minacce informatiche come virus e spyware.

Proprio alla luce di ciò, oggi siamo in grado di proporvi una bella lista contenente la bellezza di 60 servizi web gratuiti per rilevare e rimuovere virus, spyware e malware. Alcuni in linguaggi alquanto ostici (cinese e russo), ma tutti di indubbio valore. Eccoli:

  1. Kaspersky Online Virus Scanner
    http://www.kaspersky.com/virusscanner
  2. Panda ActiceScan 2.0
    http://www.pandasecurity.com/activescan/index/
  3. Dr.Web Online Link Checker (scansiona i file contenuti nelle pagine web senza installare niente sul PC)
    http://online.drweb.com/?url=1
  4. CA eTrust Virus Scanner
    http://www.ca.com/us/securityadvisor/virusinfo/scan.aspx
  5. Virus Chaser for Web
    http://www.viruschaser.com/enwi/4_01.jsp
  6. BitDefender Online Scanner
    http://www.bitdefender.com/scan8/ie.html
  7. Trend Micro HouseCall
    http://housecall.trendmicro.com/
  8. ESET Online Scanner
    http://www.eset.com/onlinescan/
  9. Symantec Security Check
    http://security.symantec.com/sscv6/home.asp?langid=ie&venid=sym&plfid=24&pkj=RHLFXZDNNXGEQGGYYFK
  10. ewido (AVG) Online Spyware Scanner with Cleaning or Removal
    http://www.ewido.net/en/onlinescan/

Testa i tuoi antivirus, firewall ed HIPS con System Shutdown Simulator!

Chissà in tutti i vostri anni di vita da geek quante classifiche relative all’efficacia di antivirus, firewall ed HIPS avrete letto. Certo, quelle ben fatte aiutano alla scelta di un prodotto piuttosto che un altro, ma perché non provare in prima persona l’efficacia della nostra protezione invece di fidarci della prima classifica che passa?

Se siete d’accordo con me, correte a scaricare il software gratuito System Shutdown Simulator e preparate al meglio la vostra “flotta” armata contro le minacce informatiche, perché la battaglia di test che vi proponiamo oggi è molto dura, e potrebbe rivelare sorprese non troppo gradite anche per chi utilizza prodotti per la sicurezza ultra-blasonati.

iPhone/iPod Touch vulnerabili ad un attaco DoS

iPhone/iPod Touch vulnerabili ad un attaco DoS

Attenzione, una notizia importante per tutti i possessori di iPhone ed iPod Touch, inclusi i due prodotti più recenti ovvero l’iPhone da 16GB e l’iPod Touch da 32GB, è stata rilevata una vulnerabilità che rende questi apparecchi soggetti ad attacchi Denial of service.

Questo avviso vale dal firmware 1.1.2. L’attacco può avvenire semplicemente visitando un sito web, che contiene codice maligno, l’esecuzione del codice può portare poi al crash del iPhone/iPod Touch. L’unica soluzione, in attesa di una patch ufficiale, è quella di disabilitare Javascript. Altre grane per la casa di Cupertino, quindi, che si trova in questo periodo a dover fronteggiare i tentativi di hacking dell’ultimo firmware 1.1.3 appena rilascito, dalle varie ANYSIM, ecc.

Grave vulnerabilità in WordPress 2.3.X: aggiornamento a WordPress 2.3.2 urgente

Grazie alla segnalazione di Nunzio, ho aggiornato immediatamente WordPress alla versione 2.3.2, perchè nelle versioni precedenti 2.3.X è presente una grave vulnerabilità che permette a chiunque di leggere interamente gli articoli programmati in data futura.

Ovviamente per blog di notizie, organizzati come piccole testate editoriali, il bug è veramente grave, se avete fatto scoop, ho scritto per esempio una guida originale, potreste trovarvela pubblicata da qualche parte prima che il vostro articolo sia effettivamente uscito , proprio per colpa di questa vulnerabilità. Aggiungendo la stringa che vedete qui sotto, è possibile visualizzare tutti gli articoli schedulati, sempre se ce ne sono.
+ Leggi tutto