Massimo Rabbi

Pericolosa vulnerabilità per gli short-cut di Windows

Ancora problemi per Microsoft e per le sue versioni di Windows: questa volta nel mirino finisco gli shortcut. Nella giornata di domenica è cominciato infatti a circolare il proof of concept dell’exploit, con tanto di codice sorgente, in grado di sfruttare la vulnerabilità non ancora patchata. Lanciando infatti il link, l’exploit invia un messaggio del […]

Microsoft Windows con problemi di "token kidnapping"

Ancora problemi di “token kidnapping“, a distanza di più di un anno dal rilascio di una patch che sembrava aver risolto il problema. È questo lo scenario che si va profilando per Microsoft e per le varie versioni dei suoi sistemi operativi, inclusi i più recenti Windows 2008 R2 e Windows 7. Sembra infatti che […]

Firefox 3.6.4: corrette molte vulnerabilità ma rimane un URL spoofing

Ancora una volta il lavoro di Michal Zalewski, noto ricercatore di sicurezza, ha dato i suoi frutti. Nella recente versione di Firefox 3.6.4, sono stati rilasciati anche alcuni importanti fix di sicurezza oltre a vari miglioramenti di stabilità. Sembra infatti che il browser di casa Mozilla soffra di problemi nella gestione dei link aperti nella […]

Apple iOS 4: corrette 65 vulnerabilità

La nuova versione del sistema operativo iOS 4 recentemente rilasciata da Apple ha visto chiudere ben 65 vulnerabilità, alcune in grado di consentire ad un attaccante di prendere il controllo del dispositivo. Stando ad Apple, alcune falle tra quelle corrette permetterebbero l’esecuzione di codice arbitrario sul device dell’utente o attacchi di tipo “cross-site scripting (XSS)”. […]

Sistemi critici in pericolo per un bug Cisco

Immaginate una piattaforma in grado di raccogliere informazioni provenienti dai sistemi di un edificio tra i più disparati (es: illuminazione, ventilazione, alimentazione) e in grado di elaborare i dati ricavati da queste sorgenti così eterogenee. Cisco Network Building Mediator, tra i suoi compiti ha infatti quello di normalizzare queste informazioni dando loro una rappresentazione comune […]

Corretta un’altra falla di sicurezza in Facebook

Ancora problemi di sicurezza per il noto “social network” Facebook. Questa volta la segnalazione arriva da IDG News, che ha ripreso quanto riportato dallo studente Steven Abbagnaro sul suo blog. Il bug in questione consentiva ad un malintenzionato di cancellare tutti i contatti inseriti nella lista degli amici di un generico utente.

Symantec e il falso allarme per World of Warcraft

Gli “abitanti” del famoso gioco targato Blizzard, World of Warcraft, si stanno lamentando in maniera molto vivace nelle ultime ore. A scatenare le loro ire, il falso allarme dell’antivirus di casa Symantec che ha etichettato come potenzialmente maligno un componente del gioco in questione. Sembra infatti che il software abbia classificato la libreria “scan.dll.new” come […]

Aggiornata la "Top Ten List" di OWASP

Gli esperti di sicurezza del progetto OWASP, acronimo per Open Web Application Security Project, hanno aggiornato la lista delle 10 vulnerabilità più diffuse in ambito di Web applications. Questa “Top Ten List” del 2010 segue quelle precedentemente pubblicate rispettivamente nel 2004 e nel 2007. Dave Wichers, membro del consiglio OWASP, ha confermato che in questa […]

Vulnerabilità PDF: il workaround ufficiale di Adobe

È di qualche giorno fa la notizia relativa ad un pericoloso bug che interessa il formato PDF e la diffusione di un exploit funzionante per Adobe Reader e Foxit Reader. Adobe dal canto suo ha confermato la vulnerabilità nel proprio prodotto e ha proposto un possibile workaround per “limitare i danni”. La funzionalità “incriminata”, lo […]

Account Twitter violati: arrestato un francese

Nella giornata di giovedì scorso, gli investigatori d’oltralpe hanno proceduto all’arresto di un cittadino francese di 25 anni. Sembra infatti che l’uomo sia responsabile degli attacchi avvenuti ad inizio-metà del 2009 e che hanno visto violati numerosi account personali Twitter tra cui quelli della nota pop-star Britney Spears e dell’attuale presidente americano Barack Obama. Il […]

PayPal: lotta al phishing con Iconix eMail ID

Il fatto che PayPal assieme ad eBay e ai tanti siti di banche sia uno dei principali bersagli delle mail di phishing è indubbio. Proprio per dare ai propri clienti una maggiore sicurezza, è di questi giorni l’iniziativa di PayPal UK, che sta invitando gli utenti a scaricare il tool gratuito Iconix eMail ID. Il […]

Microsoft avverte: occhio al finto Security Essentials

Microsoft ha lanciato un allarme negli ultimi giorni circa la diffusione di uno dei tanti “rogue antivirus“. Questa volta il malware in questione prende le vesti dell’antivirus gratuito di casa Microsoft, ovvero Security Essentials, rilasciato in versione stabile verso la fine dello scorso settembre. Il software si presenta col nome “Security Essentials 2010” e installa […]

Exploit 0-day per Firefox 3.6

La società di sicurezza russa Intevydis ha reso disponibile un exploit 0-day Windows per Firefox 3.6, ai clienti del proprio software VulnDisco Professional Pack. VulnDisco è un add-on commerciale per il toolkit di sicurezza Canvas venduto da Immunity. Sul forum di Immunity, lo sviluppatore Evgeny Legerov, ha comunicato l’aggiornamento di VulnDisco con l’exploit funzionante per […]

Pwn2Own 2010: all’attacco di browser e telefonini

Aaron Portnoy di TippingPoint Technologies, ha annunciato che anche quest’anno si terrà il celebre contest Pwn2Own in occasione dell’annuale conferenza di sicurezza CanSecWest, in programma a Vancouver dal 24 al 26 marzo prossimi. Una interessante novità di quest’anno è sicuramente l’aumento del montepremi totale in palio: si sa già infatti che saranno messi a disposizione […]

Antivirus e suite di sicurezza per il 2010: memoria e velocità a confronto

Per un utente Windows, la scelta di un buon prodotto antivirus o di una suite “Internet Security”, che magari includa anche funzionalità di firewall e antispyware, è obbligata. Quello che spesso ci si trova ad affrontare è il classico trade-off tra prestazioni e sicurezza: buone capacità di rilevamento delle minacce ma anche velocità e consumo […]

iPhone e attacchi SSL: occhio alla configurazione

Il recente rilascio della versione 3.1.3 di iPhone OS non ha portato con sé alcuna patch riguardante una errata gestione dei certificati SSL. Il bug è stato individuato a fine gennaio e le informazioni a riguardo pubblicate sul blog Cryptopath. Nell’articolo viene mostrato sia possibile firmare un file di configurazione XML utilizzando un “certificato SSL […]

Tutte le vulnerabilità corrette con iPhone OS 3.1.3

Apple ha rilasciato di recente la nuova versione 3.1.3 del sistema operativo iPhone OS, utilizzato su tutti i device “iPhone” e “iPod Touch”. L’update è molto importante perché va a patchare ben 5 vulnerabilità di sicurezza, tra le quali alcune che possono consentire ad un potenziale attaccante di prendere possesso da remoto del dispositivo. Apple […]

Pronto Nmap 5.20

Gli sviluppatori di Insecure.org hanno annunciato il rilascio della nuova versione 5.20 di Nmap, primo grosso aggiornamento dopo la versione 5.00 pubblicata nel mese di luglio 2009. L’aggiornamento al popolare software per il “network scanning” include ben 150 novità e miglioramenti. Per chi ancora non lo conoscesse Nmap è un tool essenziale nella vita quotidiana […]

Pericoloso bug nella libreria QuickTime di Apple

L’Internet Storm Center di SANS ha segnalato nei giorni scorsi la scoperta di un pericoloso buffer overflow che affligge la libreria QuickTime di Apple. La notizia ripresa dal blog di Offensive Security riguarda la pubblicazione di un advisory su Exploit-Db che mette in luce le problematiche di gestione dei file.mov ad opera della libreria QuickTime. […]

Germania e Francia "contro" Internet Explorer

La falla di Internet Explorer che ha consentito nei giorni scorsi di compromettere i sistemi informatici di due giganti come Google e Adobe non è passata di certo inosservata agli occhi dei vari governi, in particolare quelli europei. Nella giornata di venerdì scorso infatti il BSI (Ufficio Federale tedesco per la Sicurezza Informatica) ha emanato […]