P4 Werterxyz

30 ottobre 2006

Gravissima falla di sicurezza in Firefox 2.0: DoS mediante un oggetto javascript Range e possibile esecuzione di codice arbitrario da remoto

Filed under: Falle di sicurezza — P4 Werterxyz @ 20:34

E’ stata scoperta una gravissima falla di sicurezza in Firefox 2.0 che mediante un oggetto javascript Range permette di sferrare un attacco DoS da remoto facendo crashare il browser e con possibilità di eseguire codice arbitrario da remoto.

test che fa crashare Firefox 2.0 qui: http://werterxyz.altervista.org/Firefox2Range.htm

Meditate gente… Meditate…

Saluti da P4

NEW tema per Windows XP firmato Microsoft: Zune – Royale Noir

Filed under: Windows XP — P4 Werterxyz @ 11:45

Microsoft ha rilasciato ufficialmente il nuovo tema Zune – Royale Noir per Windows XP.
 
 
Inoltre il pulsante di start e le barre di progresso (progress bar) sono di colore arancione, anzichè verde.

Download qui:
http://download.microsoft.com/download/e/a/9/ea9af5ae-b48e-473e-85fe-dcde7472e644/ZuneDesktopTheme.msi
NB. Se avete scaricato questo tema il 3 novembre, vi conviene riscaricarlo perchè è stato aggiornato correggendo il bug nella installazione che copiava Shellstyle.dll nella cartella sbagliata
 
Ho messo a disposizione di tutti anche un’altra variante del tema Zune che potete scaricare da qui: http://werterxyz.altervista.org/royalenoir.zip
I file di questa variante del tema Zune sono firmati digitalmente da Microsoft, quindi non occorre alcuna patch a UxTheme.dll, inoltre comprende anche la combinazione colori blue del vecchio Royale, quindi potete rimuovere il vecchio se lo avete (basta cancellare la cartella Royale presente in C:\WINDOWS\Resources\Themes e il relativo file .theme).
Istruzioni per installare questa variante del tema Zune:
1. Copiare la cartella royalenoir in C:\Windows\Resources\Themes
2. Doppio click su luna.msstyles in C:\Windows\Resources\Themes\royalenoir
3. Click col tasto destro del mouse sul desktop –> Proprietà –> Aspetto –> Combinazione colori: Royale Noir

Saluti da P4

25 ottobre 2006

Primo piccolo bug in IE7: spoofing temporaneo dell’URL nella barra indirizzi

Filed under: Falle di sicurezza — P4 Werterxyz @ 13:18

Secunia segnala una "falla" in IE7 mediante la quale è possibile contraffarre l’URL nella barra indirizzi, per es. in un pop-up.
Test qui: http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/
In realtà il problema è pressochè inesistente, perchè basta fare il focus sulla pagina del pop-up perchè l’URL completo reale ti compaia. E infatti lo scopo dello spoofing è quello di costruire una pagina che imita un altro sito e poi spingere l’utente a immettere informazioni in quella pagina per poi rubartele, ma in realtà appena clicki sulla pagina di quel pop-up per es. per iniziare a scrivere qualcosa tipo i tuoi dati o la tua password, vedi comparire l’URL completo reale perchè il focus si sposta dalla barra degli indirizzi al contenuto della pagina e l’inganno viene svelato immediatamente! Quindi a mio avviso la vulnerabilità è inesistente perchè non funzionante, semmai è un bug.
  Focus sulla pagina svela il trucco
Invece Firefox NON ha uno straccio di protezione e permette di nascondere completamente la barra degli indirizzi e quindi una pagina in un pop-up priva di barra indirizzi che imita un altro sito frega immediatamente un utonto, mentre in IE7 la barra indirizzi NON può essere mai nascosta per ragioni di sicurezza.

Saluti da P4

24 ottobre 2006

Prima falla per Firefox 2.0

Filed under: Falle di sicurezza — P4 Werterxyz @ 14:18

Avevo già parlato di questa falla nei miei precedenti messaggi ad agosto, ma a tutt’oggi risulta ancora NON patchata e l’ultima versione di Firefox 2.0 appena rilasciata è ancora affetta.

Title: Concurrency-related vulnerability
Impact: Critical
"Jonathan Watt and Michal Zalewski independently reported timing dependent testcases that trigger crashes at the same place during text display. We have seen no demonstration that these crashes could be reliably exploited, but they do show evidence of memory corruption so we presume they could be."
http://www.mozilla.org/security/announce/2006/mfsa2006-59.html

Notare come Mozilla la classifichi come Critical, e dica che è stata corretta con Firefox 1.5.0.7, mentre in realtà sia Firefox 1.5.0.7 che Firefox 2.0 NON superano il test di Michal Zalewski
: http://lcamtuf.coredump.cx/ffoxdie.html crashando istantaneamente!

Alla faccia di tutti quei siti che in questi giorni hanno riportato, per giunta erroneamente, la notizia di una "prima falla in IE7" subito dopo il suo rilascio: http://p4werterxyz.spaces.live.com/blog/cns!5303B6CC1AC175A6!194.entry?_c=BlogPart#permalink

Meditate gente…. Meditate…

Saluti da P4

18 ottobre 2006

Grave falla di sicurezza in Adobe Flash Player 9.0.16

Filed under: Falle di sicurezza — P4 Werterxyz @ 18:34

La società di sicurezza Rapid7 ha scoperto una grave falla in Adobe Flash Player 9.0.16 (e precedenti) per Windows e Linux che permette ad un sito web maligno di eseguire richieste HTTP arbitrarie controllando/modificando gli header HTTP, con tutte le conseguenze sulla sicurezza e sulla privacy che ne derivano. Questa falla risulta particolarmente grave in Firefox, dato che Firefox non nasconde il Referrer, mentre IE diligentemente invia un fake Referrer.
Per maggiori dettagli: http://download2.rapid7.com/r7-0026/

La versione beta di Flash Player 9.0.18 risolve questa falla, quindi siete caldamente invitati ad aggiornarvi anche se è una versione beta (oppure disabilitate Flash Player in attesa della nuova versione finale):

Per disinstallare la versione precedente:
http://fpdownload.macromedia.com/get/flashplayer/current/uninstall_flash_player.exe
poi svuotare anche la cartella Flash in C:\WINDOWS\system32\Macromed\Flash altrimenti vi rimangono i vecchi files

Download per IE qui:
http://www.adobe.com/go/fp9_update_b1_installer_winactivex
Download per Firefox qui:
http://www.adobe.com/go/fp9_update_b1_installer_winplugin

Meditate gente… Meditate…

Saluti da P4

Gravissima falla di sicurezza nei driver NVIDIA di Linux: esecuzione di codice arbitrario da remoto con scalata dei privilegi fino a root!

Filed under: Falle di sicurezza — P4 Werterxyz @ 11:39

La società di sicurezza Rapid7 ha scoperto una gravissima falla di sicurezza nei driver NVIDIA di Linux che permette di eseguire codice arbitrario da remoto e il codice viene eseguito con privilegi di root (ovvero c’è un scalata dei privilegi fino a root o superuser!). E’ possibile compromettere completamente il sistema dell’utente vittima attraverso una semplice pagina web che sfrutta tale falla, come spiegato da securityfocus.com in questo articolo http://www.securityfocus.com/brief/331 "A security flaw in the binary NVidia graphics drivers used by many Linux systems could allow an attacker to compromise, through a malicious Web page, any computer using the company’s driver, security firm Rapid7 stated on Monday".

http://download2.rapid7.com/r7-0025/
http://www.securityfocus.com/bid/20559/discuss

Meditate gente… meditate…

Saluti da P4

Gravissima falla di sicurezza nel browser Opera 9: esecuzione di codice arbitrario da remoto con URL lunghi

Filed under: Falle di sicurezza — P4 Werterxyz @ 11:04

E’ stata scoperta una gravissima falla di sicurezza in Opera 9.01 (sia in Windows che in Linux) nella elaborazione di URL lunghi, che scatena un buffer overflow dell’heap e consente di eseguire codice arbitrario da remoto per compromettere il sistema dell’utente vittima. E’ sufficiente visitare un sito web pericoloso che in una sua pagina contenga in un tag HTML un URL lungo appositamente creato ad hoc.

http://secunia.com/advisories/22218/

Questa falla è stata corretta con la nuova versione di Opera 9.02 e quindi chi usa Opera è altamente invitato ad aggiornarsi alla nuova versione.

Saluti da P4

13 ottobre 2006

Alice Flat passa da 640 Kbps a 2 Mega gratis

Filed under: Senza categoria — P4 Werterxyz @ 18:30

Gentile Cliente,

Siamo lieti di informarla che, a partire dal 13 ottobre 2006, con la sua offerta Alice Flat sarà disponibile il nuovo profilo a velocità di download fino a 2 Mega, anzichè 640 Kbps.
Con l’adesione al nuovo profilo 2 Mega di Alice Flat potrà usufruire di maggiore velocità a parità di condizioni economiche del suo abbonamento.
Il nuovo profilo non richiede alcun intervento tecnico presso il suo domicilio, essendo compatibile con il modem da lei attualmente utilizzato e verrà reso disponibile entro l’anno, a partire dal 13 ottobre 2006.
Nel comunicarle la presente novità relativa alla sua offerta Alice Flat, la ringraziamo per la fiducia accordataci e le porgiamo cordiali saluti.
Per ulteriori informazioni può chiamare il 187 o visitare il sito www.alice.it

Servizio Clienti Telecom Italia

10 ottobre 2006

NEW Patch di sicurezza per Windows XP SP2 – ottobre

Filed under: Windows XP SP2 patch di sicurezza — P4 Werterxyz @ 19:35

Windows XP SP2
1) Aggiornamento della protezione per Windows XP (KB923191) – shell
http://www.microsoft.com/downloads/details.aspx?FamilyID=235bca55-8d43-4eaf-8970-a55bc3165e3d&DisplayLang=it

2) Aggiornamento della protezione per Windows XP (KB924191) – MSXML
http://www.microsoft.com/downloads/details.aspx?FamilyID=8a455c3b-213c-4395-87e9-9895f2b9a6ed&DisplayLang=it
NB. Se avete anche MSXML 4.0 SP2 e MSXML 6.0 dovete scaricare anche altre patch che trovate qui:
http://www.microsoft.com/downloads/details.aspx?FamilyID=961f3c95-ec4e-4561-ab27-b3180e9139c5&displaylang=it
http://www.microsoft.com/downloads/details.aspx?FamilyID=fd513435-fa6d-407c-bedc-5fd03e5b7d6c&DisplayLang=it 

3) Aggiornamento della protezione per Windows XP (KB924496)
http://www.microsoft.com/downloads/details.aspx?FamilyID=86c2b78e-53bf-4ddd-88f6-5d12c6d18c90&DisplayLang=it

4) Aggiornamento della protezione per Windows XP (KB922819) – TCP/IP
http://www.microsoft.com/downloads/details.aspx?FamilyID=9fd73d12-ff7c-411d-944d-a6f147b20775&DisplayLang=it

5) Aggiornamento della protezione per Windows XP (KB923414) – servizio Server
http://www.microsoft.com/downloads/details.aspx?FamilyID=08ab17b9-149c-44d4-96cf-87a8c6b9dc22&DisplayLang=it

6) Aggiornamento per la protezione di .NET Framework 2.0 (KB922770)
http://www.microsoft.com/downloads/details.aspx?FamilyID=34c375aa-2f54-4416-b1fc-b73378492aa6&DisplayLang=it

Office 2003
1) Aggiornamento della protezione per Excel 2003 (KB923088)
http://www.microsoft.com/downloads/details.aspx?FamilyID=a81a8537-e2b0-4629-8973-40c4f32d9728&displaylang=it

2) Aggiornamento della protezione per Office 2003 (KB923272)
http://www.microsoft.com/downloads/details.aspx?FamilyID=0d399f68-ec0d-4768-9846-b16b3dadf247&displaylang=it

3) Aggiornamento della protezione per Office 2003 (KB924424)
http://www.microsoft.com/downloads/details.aspx?FamilyID=8a37c111-d8e9-4c2e-9674-169b3331491c&displaylang=it

4) Aggiornamento della protezione per PowerPoint 2003 (KB923091)
http://www.microsoft.com/downloads/details.aspx?FamilyID=d0e30f77-b48f-4b8b-a6fa-105a354b1a4e&DisplayLang=it

5) Aggiornamento della protezione per Word 2003 (KB923094)
http://www.microsoft.com/downloads/details.aspx?FamilyID=30c516eb-bd63-4248-a34d-47af7e9ea55a&DisplayLang=it

Saluti da P4

8 ottobre 2006

IE7 sta arrivando questo mese… siete pronti?

Filed under: IE7 — P4 Werterxyz @ 14:37

 
La versione finale di IE7 è imminente… sarà rilasciata fra pochissimi giorni, in questo mese di ottobre. E come ho già spiegato nei precedenti miei interventi, IE7 sarà anche distribuito tramite aggiornamenti automatici dopo qualche settimana dal suo rilascio.

Are you ready?
http://blogs.msdn.com/ie/archive/2006/10/06/IE7-Is-Coming-This-Month_2E002E002E00_Are-you-Ready_3F00_.aspx

Saluti da P4

Older Posts »

Crea un sito o un blog gratuitamente presso WordPress.com.