Autore: Pecciola

Ancora bachi di sicurezza molto pericolosi in applicazioni utilizzate quotidianamente da milioni di utenti. Microsoft ha rilasciato un bollettino di security in cui sottolinea di aver scoparto una falla in Excel che potrebbe portare ad eseguire codice da remoto.

Il Bug Excel :

In pratica se ricevete via mail un file di Excel esposto al rischio la possibilità che un trojan si insinui è molto elevata e quindi occhio a  file che vi arrivano soprattutto se provenienti da fonti sconosciute. 
Microsoft si sta adoperando per capire le cause e mettere in piedi una patch quanto prima per evitare disastri e McAfee informa che, per ora, il numero degli attacchi è limitato ma coloro che sono colpiti hanno una backdoor e un malware in ascolto sulla porta 80 del loro PC. (continua…)

Autore: 4nT0

Ieri mattina Gmail si è fermato. A chiunque provasse ad aprirlo tramite web, il sito rispondeva con un errore “502 Server Error: The server encountered a temporary error and could not complete your request”. Il malfunzionamento è cominciato alle 1:30 PST (9:30 italiane), mentre la maggior parte degli statunitensi stava dormendo, ma coloro che hanno “sofferto” di più il blocco sono stati gli europei, molti dei quali in quel momento erano al lavoro.

A quanto pare è stata colpita solamente l’interfaccia web, mentre l’accesso alla casella tramite dispositivi mobili e tramite IMAP non ha avuto alcuna interruzione. Una veloce ricerca su twitter alla voce “Gfail” è sicuramente indicativa di quante persone parlino del problema. In molti manifestano il proprio disappunto, mentre altri giustificano Gmail dicendo che ha tuttora l’etichetta “Beta”, dunque non dovrebbe essere usato per scopi di produzione.

(continua…)

Autore: Pecciola

Un baco nei server di video streaming Flash di Adobe e gli utenti possono godere felicemente a memorizzare su hard disk filmati di Amazon. In pratica, una falla di sicurezza permetterebbe agli utenti Amazon di fruire gratuitamente di film e telefilm che, una volta scaricati in locale, sono facilmente masterizzabili. A causa del baco non verrebbero criptati i contenuti trasmessi e, così, occorre aver installato un software come Replay Media Catcher (della Applian Technologies che lo mette sul mercato a soli 39 dollari) per poter memorizzare e poi masterizzare i vari filmati di Amazon. Scendendo nel dettaglio si capisce che lo streaming non viene criptato per migliorare tutte le prestazioni di download e questo ha fatto affermare all’esperto di sicurezza Bruce Schneier che: "Si tratta fondamentalmente di una falla nella soluzione Adobe. È stata realizzata in modo poco accorto".

Per una volta le lamentele non vengono certo dagli utenti che godevano indisturbati della situazione, ma tutte le major cinematografiche, che vedono sfumare inesorabilmente una fonte di guadagno. Ma che non dimenticassero, comunque, le stesse major, che l’utente non ha certo bisogno di sfruttare falle del genere per scaricare video dalla rete…a buon intenditor poche parole!

Autore: Pecciola

Davvero preoccupante la vulnerabilità appena scoperta che riguarda tutti i browser web. Battezzata "clickjacking" ( "scippo dei click"). Scoperta qualche mese fada due ricercatori americani, Robert Hansen e Jeremiah Grossman, questa vulnerabilità è stata portata alla ribalta della cronaca solo pochi giorni fa da un giornalista di ZDNet, Ryan Naraine. Eccovi l’articolo originale : Clickjacking: Researchers raise alert for scary new cross-browser exploit.

Il clickjacking è una tecnica che "cattura" (con l’inganno) il click del vosto mouse e lo rindirizza su un oggetto diverso da quello che l’utente intendeva cliccare. Esempio banale: l’utente fa click su un link per accedere ad una pagina web e questo suo click viene rediretto, a sua insaputa, su un pulsante che attiva un’azione completamente diversa.L’utente è così costretto a fare quasi qualunque cosa all’interno di una pagina web. Intuirete la pericolistà della falla scoperta!

Per implementare il meccanismo fraudolento si può sfruttare il Javascript oppure usando un "inner frame"(IFRAME) nascosto.
La tecnica basata su Javascript è davvero molto semplice. Il click dell’utente su qualsiasi un elemento di una pagina HTML non mette a segno nessuna azione in sé, ma genera soltanto un evento particolare che, a sua volta, viene catturato e gestito da una apposita funzione Javascript (in questo caso "onclick()")scritta e gestita dal programmatore. Pertanto non è difficile far risultare che il click del mouse provenisse da un elemento diverso da quello clickato dall’utente. Questa tecnica è esplicitamente prevista dagli standard HTML e JavaScript e viene spesso utilizzata dai programmatori ma logicamente a fini legittimi.
Ben più preoccupazioni crea la seconda tecnica,quella basata sul tag IFRAME.

Si nasconde un inner frame ("cornice interna") all’interno della pagina web cosicchè tutti i click effettuati "colpiscono" gli elementi di questo inner frame.
Non sono stati rivelati precisamente i dettagli di tale tecnica perché Adobe (che produce "Flash" e "Reader") ha chiesto il massimo silenzio al riguardo per eliminare una vulnerabilità, collegata a questa, che riguarda uno dei suoi prodotti.
Tutti i browser attualmente in uso sono affetti da tale falla e solo i browser molto, molto vecchi (Internet Explorer fino alla Release 4.0 esclusa, Netscape Navigator fino alla Release 4.0 esclusa etc.) ne sono immuni non supportando le funzionalità di base per sfruttare questa vulnerabilità.

E bene precisare che non si rischia di vedere il conto corrente ripulito oppure veder ordinati prodotti da siti ecommerce a nostra insaputa,ma i nostri click potrebbero essere usati per iscriverci a nostra insaputa alle newsletter (violando l’attuale legge sulla privacy) oppure possono essere utilizzati per far guadagnare abusivamente (al gestore del sito) un po’ di soldi dai banner pubblicitari (AdSense e simili).

Per risolvere il problema (essendo il baco immerso nella progettazione stessa del Web) non c’è una soluzione definitiva. Occorrerà ridefinire il modo in cui vengono gestiti i click e le azioni dell’utente da parte dei browser,ma questo, inutile dirlo, richiederà molto,molto tempo.

Autore: Pecciola

Senza tregua e senza fine i problemi di sicurezza per QuickTime, il ben noto lettore multimediale di Apple da tempo sul mercato distribuito con iTunes. Sono passati appena 10 giorni dal rilascio dell’ultima patch che aveva risolto una decina di bug ed ecco spuntare una nuova vulnerabilità.

La nuova falla è stata rivelata dal sito web milw0rm.com che ha evidenziato i possibili pericoli di sicurezza dei sistemi su cui QuickTime è installato. Sembra che il baco risieda nel parametro "<? quicktime type= ?>". che non parrebbe essere in grado di gestire correttamente le stringhe di codice molto lunghe. Questo comporterebbe un crash di tutta l’applicazione. Ma, e qui arriva la nota dolente, tale problema potrebbe non solo rendere difficile utilizzare il lettore.

Secondo Aaron Adams (ricercatore per la software house Symantec), il baco potrebbe condurre anche alla esecuzione di codice non autorizzato dall’utente nel sistema tramite un file specifico e creato per sfruttare tale bug. Tale file, caricato su un sito web, indurrebbe l’ ignaro utente a effettuarne il download e poi lanciarlo in locale. Così facendo ogni utente con intenzioni bellicose potrebbe accedere al sistema con tutte le conseguenze del caso.

Pertanto Adams consiglia vivamente agli utenti di disattivare il plug-in di QuickTime dei sistemi operativi Windows e Mac OsX. Apple, che ad oggi non ha dichiarto nulla in relazione a questa nuova vulnerabilità, potrebbe rilasciare a giorni l’ennesima patch.