Windows

Windows, Google rende noto un grave bug

Google ha deciso di sfruttare l’occasione della festa di Halloween ormai trascorsa per pubblicare i dettagli di una grave vulnerabilità zero-day presente in Windows.

Windows

La vulnerabilità, scoperta dal Google Threat Analysis Group in Flash Player e nel kernel di Windows, è stata segnalata alle due aziende il 21 ottobre. Adobe ha rilasciato il 26 ottobre una nuova versione del plugin (23.0.0.205) che risolve il bug. Come è noto, Chrome viene aggiornato in maniera automatica, per cui gli utenti non devono fare assolutamente nulla per scaricare il plugin dal sito Adobe. La falla individuata nel kernel di Windows invece non è stata ancora corretta.

Flash Player

Adobe Flash Player, scovata una nuova vulnerabilità zero-day

Nel corso delle ultime ore Adobe ha provveduto a pubblicare un bollettino di sicurezza che va a descrivere brevemente una nuova vulnerabilità zero-day in Flash Player 21.0.0.242 e versioni precedenti per Windows, Mac, Linux e Chrome OS.

Flash Player

Il bug è stato scoperto dai ricercatori di Kaspersky, utilizzando tecnologie che permettono di rilevare e bloccare attacchi zero-day. L’azienda, comunque, ha già provveduto alla distribuzione di una patch ad hoc in data odierna.

Immagine che mostra l'icona di Quick Time

QuickTime per Windows non è sicuro, meglio disinstallarlo

Il team di Zero Day Initiative (ZDI) ha scoperto due gravi vulnerabilità zero-day nel software QuickTime per Windows. La situazione non è però destinata a trovare una soluzione. Apple, infatti, non rilascerà nessuna patch poiché l’azienda di Cupertino ha interrotto il supporto per la versione per i sitemi operativi di casa Microsoft del suo player.

Immagine che mostra l'icona di Quick Time

È bene terra presente che le due vulnerabilità individuate da ZDI potrebbero consentire l’esecuzione di codice arbitrario sul computer della vittima. È necessario però che l’utente visiti una pagina infetta o apra un file contenente malware. Il primo caso è tuttavia da escludere poiché Apple ha rimosso il plugin QuickTime per i browser con l’aggiornamento di gennaio, quindi lo streaming non è possibile. Il rischio però c’è ancora dato che il file video può essere scaricato e visualizzato nel player.

Internet Explorer: Microsoft corregge il bug, anche su Windows XP

Internet Explorer: Microsoft corregge la falla, anche su Windows XP

Internet Explorer: Microsoft corregge la falla, anche su Windows XP

Nei giorni scorsi la notizia di una grave vulnerabilità insita in Internet Explorer aveva scatenato il panico tra gli utenti. Nel fine settimana da poco terminato Microsoft ha però provveduto a rimediare alla cosa rilasciando un’apposita patch di sicurezza.

Il fatto che diversi governi abbiano suggerito di non utilizzare Internet Explorer e di sfruttare un browser web alternativo, quello che la vulnerabilità fosse già stata utilizzata in alcuni exploit e l’ampiezza della base vulnerabilie hanno infatti costretto Microsoft a derogare anche al solito rilascio dei bollettini il secondo martedì del mese.

Ad annunciare la notizia è stata Adrienne Hall, il capo del team di sicurezza di Microsoft, mediante la pubblicazione di un apposito post sul blog ufficiale dell’azienda. Oltre a giustificare l’estensione delle correzioni anche a Windows XP (sorpresa!) con la vicinanza alla fine del supporto per l’OS nel post viene affermato che le preoccupazioni riguardanti la vulnerabilità sono state eccessive e che il numero degli attacchi che hanno sfruttato la vulnerabilità è stato limitato.

Internet Explorer 11

Internet Explorer, grave vulnerabilità nelle versioni dalla 6 alla 11

Internet Explorer, grave vulnerabilità nelle versioni dalla 6 alla 11

Brutta, anzi bruttissima situazione quella con la quale si ritrovano a dover fare i conti gli utenti del browser web di Redmond da qualche ora a questa parte. Direttamente dai laboratori Microsoft (su segnalazione dei ricercatori FireEye) giunge infatti la notizia della scoperta di una falla che mette a rischio l’utente utilizzante Internet Explorer e che va a coinvolgere tutte le versioni dello stesso che attualmente risultano presenti sulla piazza, dalla 6 alla 11.

Il problema, stando a quanto emerso, è insito nel modo in cui Internet Explorer cerca di accedere a oggetti precedentemente rimossi o mal allocati. In tal modo un malintenzionato ha dunque la possibilità di agire da remoto sul sistema vulnerabile portando all’esecuzione di codice arbitrario.

L’exploit agisce inoltre in modo particolarmente pericoloso poiché è sufficiente una visita ad un sito appositamente sviluppato per portare il codice maligno ad agire sul browser. Bastano dunque un click su un apposito link contenuto in una mail spam, uno su un link truffaldino inviato tramite chat e vari altri escamotage per far cadere gli utenti in facili trappole.

Google Stars, spuntano nuovi ed interessanti dettagli

Google, 7 giorni per correggere i bug

Google 7 giorni per corregere vulnerabilità

D’ora in avanti a seguito della scoperta di gravi vulnerabilità su software e servizi altrui Google attenderà soltanto 7 giorni prima di comunicare pubblicamente il tutto.

I vendor avranno quindi a disposizione una settimana, a partire dalla notifica dell’avvenuta vulnerabilità, per poter rimediare agli errori fatti.

Trattasi di una nuova policy del protocollo di intervento di big G comunicata dall’azienda mediante la pubblicazione di un apposito post sul blog ufficiale e consequenziale alla volontà del colosso delle ricerche in rete di voler porre rimedio il prima possibile alle vulnerabilità andando dunque a garantire un maggior grado di sicurezza agli utenti.

Cercare di ridurre il più possibile il tempo di esposizione di una vulnerabilità zero-day è, secondo il team del gran colosso delle ricerche in rete, il modo migliore per minimizzare l’esposizione dell’utenza ai pericoli maggiori.

Pwn2Own, “bucati” Internet Explorer, Chrome e Firefox

Il Pwn2Own, l’hack-contest che si tiene ogni anno in Canada presso la conferenza CanSecWest, ha mietuto altre vittime illustri. Questa volta a cadere sotto le righe di codice degli hacker sono stati tutti i principali browser: Internet Explorer, Chrome e Firefox Safari, ma anche Windows 8 e – sorpresa delle sorprese – Java. Si tratta di tutte vulnerabilità zero-day sfruttate tramite computer equipaggiati con Windows 7, Windows 8 ed OS X Mountain Lion aggiornati fino all’ultima patch.

Internet Explorer patch vulnerabilità zero-day

Falla in Internet Explorer: oggi è disponibile un Fix It, domani la patch

Internet Explorer patch vulnerabilità zero-day

Microsoft è riuscita ad intervenire in maniera abbastanza rapida e decisa sulla questione concernente la sicurezza di Internet Explorer e, nello specifico, relativamente alla falla zero-day scovata e segnalata proprio pochi giorni fa.

La vulnerabilità in questione, così come messo in evidenza dagli esperti del settore, risulta particolarmente grave ed interessa, nello specifico, tutte le versioni di Internet Explorer dalla 6.0 alla 9.0 e tutti i sistemi operativi Windows da XP al più recente 7.

Al fine di mettere al sicuro il sistema operativo in uso e, sopratutto, i propri utenti Microsoft, così come annunciato sul suo blo ufficiale, ha quindi provveduto ad intervenire, in primis, mediante un apposito Fix It grazie al quale “tappare” temporaneamente la falla in attesa di una soluzione definitiva.

Il secondo intervento, invece, avrà luogo nel corso della giornata di domani e prevede il rilascio di un’apposita patch.

Internet Explorer falla

Nuova falla in Internet Explorer, a rischio milioni di PC

Internet Explorer falla

Nelle versioni 7.0, 8.0 e 9.0 di Internet Explorer, il browser web della redmondiana, è stata individuata una falla che può portare all’esecuzione di codice nocivo semplicemente visitando una pagina web malevola.

Si tratta di una nuova e pericolosa vulnerabilità la cui esistenza è stata confermata, proprio nel corso delle ultime ore, da Rapid7, l’azienda che si occupa dello sviluppo e dell’aggiornamento di Metasploit, il famoso software per penetration testing mediante cui, appunto, scovare eventuali falle di sicurezza.

La falla, così come sottolineato dai portavoce della società, può essere sfruttata a prescindere dalla versione di Windows in uso per cui tutti gli utenti in possesso di un OS Microsoft sono potenzialmente a rischio.

La vulnereabilità, nel dettaglio, espone il sistema a serio rischio di attacchi drive-by ovvero quelli che, generalmente, vengono sfruttati per provocare il download automatico e l’esecuzione di codice dannoso facendo leva su vulnerabilità non sanate dall’utente mediante l’installazione di varie ed apposite patch.

Una vulnerabilità 0-day per IE

Proprio ieri parlavamo di antivirus e della sicurezza in generale, ed oggi neanche a farlo apposta Microsoft ha pubblicato un advice dove segnala una pericolosa vulnerabilità 0-day in Microsoft’s ActiveX Video Controls più precisamente nel file msvidctl.dll.

Il problema per il momento dovrebbe riguardare solamente Internet Explorer 6 ed Internet Explorer 7, nell’attesa che il bug venga fixato e sia rilasciata la relativa patch Microsoft consiglia di applicare la soluzione descritta qui.