Falla per IE6

27 Sep
di

Arriva da Secunia la segnalazione di una nuova falla per Internet Explorer 6. Qui i dettagli della vulnerabilità , peraltro simile ad un'altra pregressa. Pericolosità  moderata. Siccome mancano ancora circa 2 settimane al nuovo aggiornamento di sicurezza Microsoft, è consigliabile seguire il consiglio di elevare a livello "Alto" il livello di sicurezza durante la navigazione. Oppure, come si suol suggerire in queste circostanze, si può cogliere l'occasione per provare browser alternativi quali Firefox o Opera

Continua a leggere Falla per IE6

Categoria: Sicurezza

Sono almeno due i problemi profondi, di architettura, che, come una spada di Damocle, penzolano sulla testa degli utenti di Internet Explorer: l'integrazione del browser con il sistema operativo (a partire da IE 4) e l'utilizzo degli ActiveX.L'integrazione con il sistema consente, ad esempio, ad una vulnerabilità  del browser di potersi replicare in più punti del sistema (Outlook, Sistema di Help, Office) oppure permette ad una errore del browser di insidiare il filesystem e altri punti esterni al navigatore e ai suoi componenti. Intendiamoci, non che Safari e Firefox siano al riparo da questi problemi (come hanno dimostrato l'ultima vulnerabilità  di Firefox e le vecchie di Apple), ma Explorer vi è più esposto e i problemi più amplificati.Gli ActiveX sono invece applicazioni in grado di girare all'interno del browser e di accedere al sistema operativo. Sono pericolosi, certo, né più né meno come un programma installabile. Ma sono diventate una porta aperta del browser verso l'esterno. Anche Firefox ha i suoi ActiveX (si chiamano XPCOM), ma sinora non sono state registrate falle sfruttabili.Bene: gli ActiveX e l'integrazione con il sistema sono due delle priorità  da correggere nel futuro Internet Explorer 7 che, in quanto a sicurezza, sarà  davvero, a leggere i messaggi ufficiali del team IE, una bella rivoluzione. La barriera fra IE e il sistema sarà  rafforzata dal Protected Mode, che purtroppo funzionerà  solo in Windows Vista e impedirà  al browser di installare qualsiasi programma e di eseguire codice al di fuori dei suoi limiti. Gli ActiveX, già  parzialmente corretti dal Service Pack 2, saranno invece blindati: potranno essere eseguiti solo quelli impostati per eseguirsi all'interno del browser. Basterà ?

Continua a leggere IE 7: un nuovo approccio alla sicurezza?

Categoria: Sicurezza

Non è un buon momento per Firefox. Dopo il rapporto Symantec che lo indicava come il "browser più vulnerabile" degli ultimi sei mesi e le voci dai blog che ne mettevano in dubbio la sicurezza, è arrivata l'ultima mazzata: un buco nello script di lancio del browser su sistemi Linux che avrebbe consentito l'esecuzione di comandi nella shell attraverso un semplice link incluso in software esterni (come un gestore di mail). (more...)

Continua a leggere Firefox non ci sta: la sicurezza é velocità 

Categoria: Sicurezza

di

Una piccola riflessione è d'obbligo. Si cancelli ogni pregiudizio e si guardi ai fatti: Mozilla dice che Firefox è più sicuro di Explorer, Microsoft dice che Explorer è più sicuro di Firefox. O meglio, Microsoft diceva che Firefox era un embrione che avrebbe svelato la propria insicurezza appena raggiunta una certa popolarità  (Gartner confermava). Ora sembra che Microsoft avesse le sue ragioni, perchè le falle di Firefox spuntano come funghi (qui, qui, qui e qui). àˆ pur vero, però, che dalla parte opposta Microsoft continua a non risolvere vecchie falle e a rinviare a domani quello che potrebbe aggiornare oggi.Ora ci si mette pure Symantec a riportare dati che bocciano Firefox e promuovono Explorer, non fosse che pochi giorni dopo quel report si scopre che Symantec e Microsoft stanno imbastendo una importante partnership che troverà  modo di esprimersi in Internet Explorer 7. Secunia, intanto, per le falle gravi di Firefox consiglia di fare più attenzione, mentre per le falle gravi di Explorer consiglia di cambiare browser (una stonatura che si sente).A prescindere da chi possa avere ragione o meno: in questo marasma fatto di interessi di parte, dove stanno le certezze sulle quali dovrebbe basarsi l'utente?

Continua a leggere A chi credere?

Categoria: Sicurezza

Le chiamano "Software emanations" e sono tutti i suoni, le luci, le emissioni elettromagnetiche e gli altri elementi sensibili che emette un computer durante il lavoro quotidiano. Le emissioni luminose dei monitor CRT o LCD possono essere sfruttate per recuperare le schermate del lavoro quotidiano. Analizzando le emanations della tastiera si può registrare l'attività dell'utente, comprese password, nomi utente e dati della carta di credito. (more...)

Continua a leggere Craccare le “software emanations”

Categoria: Sicurezza

Ha suscitato molte reazioni un post di George Ou su uno dei blog di ZDNet. Il titolo, in inglese, è lo stesso che vedete qui sopra. Da dove nascerebbero i problemi di Firefox? Dalla sicurezza, proprio uno degli aspetti che più lo avrebbe dovuto distinguere dal quel rivale pluribucato sotto questo aspetto che si chiama Internet Explorer.A conti fatti, sostiene Ou, negli ultimi mesi Firefox ha superato il browser di Microsoft sia nella classifica delle vulnerabilità, sia in quella, ben più critica, degli exploit.Ho fatto una cattura delle due tabelle e ve le propongo qui sotto. La prima si riferisce alle vulnerabilità e attinge per i dati alle rilevazioni di Secunia (qui quelle per Firefox, qui quelle per IE).La seconda riguarda invece gli exploit resi pubblici e rintracciabili in rete.Ma è davvero questa la realtà? (more...)

Continua a leggere Firefox: luna di miele finita?

Categoria: Sicurezza

All'Università neozelandese di Otago, il 40 per cento dei computer ha installato Mac OS X. È più stabile, è più carino ed è anche più sicuro di Windows. Più sicuro, non inviolabile. Per questo gli utenti dovranno cominciare a fare i conti con virus e worm.L'ultimo bollettino di sicurezza di Apple ha corretto 44 errori di programmazione in diverse decine di software Mac, compreso il browser Safari. Almeno 6 delle 44 vulnerabilità potevano condurre ad attacchi pericolosi (sono quelle divulgate dal Cert). (more...)

Continua a leggere Una dose di sicurezza anche per Mac

Categoria: Sicurezza

Se non ancora fosse chiaro, dietro gli attacchi di phishing, e dietro ad alcuni worm, non ci sono i soliti "kiddies" cui abbiamo anche dato un volto a partire dal caso Sasser. Ci sono veri e propri sistemi economici fatti di compratori, venditori, distributori, consulenti, operai. Uno studio sul campo di First Monday (grazie Cesare), ha il merito di aver dato un'occhiata dall'interno di questo mondo. (more...)

Continua a leggere La cupola del phishing

Categoria: Sicurezza

di

Non sto a ripetere la storia. Chi vuole può leggerne la prima parte qui e la seconda qui. Qualche riflessione sorge però spontanea. Importante è soprattutto il rilievo mosso da Marco Montemagno all'interno del suo SkyTg24 Blog in merito ai problemi che hanno legato la vicenda ad ostacoli comunicativi tra la banca colpita e l'esterno:Ne approfitto per constatare quanto oggi sia fondamentale essere presenti in Internet, ed esserci con gli strumenti giusti, integrati con il mondo dei blog. Troppo più vantaggioso. Viene a sapere subito che cosa si dice del tuo prodotto, se ci sono problemi, critiche (o anche complimenti, ecc.). Dov'è il blog di Rasbank per gestire le pubbliche relazioni? (more...)

Continua a leggere Storia di una falla

Categoria: Sicurezza

Tags: ,

Dalla pubblicazione di un bug alla comparsa del malware (solitamente un worm) che ne sfrutta le capacità possono passare anche solo 5 giorni. Zotob, il worm che sfrutta la vulnerabilità del Plug and Play di Microsoft (MS05-039), ha stabilito il nuovo record del flash exploit detenuto finora da Sasser (14 giorni). Il procedimento è semplice: non appena la software house, quasi sempre Microsoft, pubblica il bollettino di sicurezza, i cracker si mettono al lavoro per sfruttare la vulnerabilità basandosi sui dettagli tecnici pubblicati nell'advisory. Alcuni, come dichiarò lo scorso aprile il manager Microsoft David Aucsmith, ci danno dentro di reverse engineering sulla patch pubblicata. (more...)

Continua a leggere Un exploit in 5 giorni

Categoria: Sicurezza

Tags: , ,