Una falla nell’infrastruttura alla base di LinkedIn potrebbe comportare un potenziale pericolo per la sicurezza dei dati degli utenti. Lo afferma un ricercatore di sicurezza che ha studiato la piattaforma su cui il celebre social network per professionisti si basa.
Continua »
Importante cambiamento nella divulgazione delle vulnerabilità per Microsoft, che ha da tempo annunciato la sua adesione al Coordinated Vulnerability Disclosure, (CVD), un programma collaborativo per la scoperta e la segnalazione di vulnerabilità anche di software di terze parti.
Obiettivo, concentrarsi su coordinamento e collaborazione per risolvere i problemi di sicurezza in modo trasparente, così da minimizzare i rischi e i disagi per l’utente.
Continua »
La lotta al malware è una battaglia infinita, che Microsoft combatte mensilmente con il rilascio di bollettini di sicurezza e patch per tutte le vulnerabilità di volta in volta scoperte. Nel 2010 sono stati oltre 100 i bollettini rilasciati, per la correzione di 256 vulnerabilità di Windows. A questo proposito, i ricercatori di BeyondTrust hanno effettuato un’interessante analisi di tutte le vulnerabilità di Windows 7 e Internet Explorer 8 scoperte da Microsoft nel 2010: i risultati sono piuttosto eloquenti: un sistema utilizzato da utenti privi di diritti di amministratore, è un sistema meno “esposto” alle vulnerabilità.
Continua »
Nuova picconata al dominio di Adobe Flash, oggetto dell’ennesima vulnerabilità, da poco comunicata con un bollettino di sicurezza della stessa Adobe, che segnala la presenza di un bug in Flash Player e in tutte le versioni di Adobe Reader e Adobe Acrobat.
Continua »
La vulnerabilità riscontrata in Windows a livello di MHTML (MIME Encapsulation of Aggregate HTML) non ha ancora trovato un’adeguata risposta da parte di Microsoft a distanza di quasi due mesi dalla sua scoperta e così, adesso, Google ha deciso di lanciare l’allarme.
La vulnerabilità è legata a Windows, ma l’expolit è stato realizzato in modo da agire con Internet Explorer, ragion per cui il Google Security Team ha messo in guardia gli utenti Windows che usano Internet Explorer dei pericoli che potrebbero essere loro arrecati da questa falla, invitando gli utenti ad usare un browser alernativo almeno fino a che Microsoft non avrà rilasciato la patch specifica che sarebbe in fase di preparazione.
Continua »
Microsoft: il patch day di marzo ha previsto questo mese soltanto tre bollettini di sicurezza, segnalandosi così per il basso numero di aggiornamenti rispetto a quanto capitato in altre tornate.
Delle tre patch rilasciate, solo una è ritenuta critica: la numero 15 (MS11-015), che va a risolvere una vulnerabilità relativa a DirectShow e una legata ai player multimediali Windows Media Player e Windows Media Center.
Continua »
Una ricerca sulla sicurezza svolta da due studenti, Rui Wang e Zhou Li, ha permesso di scoprire una vulnerabilità di Facebook che consente a siti web creati ad hoc di accedere ai dati personali pubblicati sul profilo senza permesso dell’utente.
Il sito web maligno potrebbe essere una copia fedele di un sito al quale l’utente ha concesso l’autorizzazione per accedere ai dati privati come nome, sesso e data di nascita.
I ricercatori hanno inoltre trovato un modo per pubblicare contenuti sulla bacheca dell’utente, dimostrando come sia possibile diffondere malware o effettuare un attacco di phishing. Continua »
Lo ha confermato Adobe stessa con un bollettino di sicurezza
rilasciato appositamente: alcuni tra i più utilizzati prodotti Adobe, tra cui Flash Player, Reader e Acrobat, contengono una vulnerabilità critica che pone il sistema in uso in pericolo.
Attualmente Adobe non è a conoscenza di attacchi che avrebbero sfruttato tale vulnerabilità, ma si sta lavorando a pieno regime per rilasciare un fix già per l’aggiornamento previsto per il 9 novembre.
Continua »
In base a quanto pubblicato da Marsh Ray e Steve Dispensa nel loro Renegotiating TLS, la sicurezza del protocollo SSL/TLS è a rischio.
Sfruttando le opportune vulnerabilità si potrebbe riuscire ad inserire informazioni all’interno di connessioni sicure. Tutto questo ha gravi ripercussioni sul traffico Web e sui protocolli che si affidano a TLS per la sicurezza: HTTPS e IMAP in primis.
Stando a quanto descritto nel paper sarebbe possibile manipolare il contenuto HTML inviato dai siti Web durante la fase di trasferimento dati così da iniettare codice malevole.
Il problema risiede in un difetto di progettazione del protocollo TLS stesso e non tanto in una sua specifica implementazione. La falla è insita nella fase di rinegoziazione dei parametri per una connessione TLS esistente. È il caso ad esempio di un cliente che tenta di accedere ad un area sicura di un Web server che richiede che il client richiedente invii un certificato per la validazione.
Continua »
Gli esperti di sicurezza di Microsoft stanno effettuando delle indagini su una vulnerabilità che interessa la tecnologia DirectX, utilizzata nei sistemi operativi dell’azienda di Redmond per migliorare la gestione dei software che utilizzano costantemente flussi audio e video.
Da quanto è possibile leggere sul report diffuso dalla stessa società, questa falla è sfruttata da alcuni hacker che utilizzano del codice malevolo veicolandolo da remoto tramite dei video di QuickTime.
Continua »
