Internet Explorer è più sicuro di Firefox: meno vulnerabilità da novembre 2004 fino ad oggi

E’ passato ormai 1 anno da quando è stato rilasciato Internet Explorer 7 e quindi per l’occasione Jeff Jones ha stilato un rapporto delle vulnerabilità che sono state riscontrate da novembre 2004 fino ad oggi nei browser Internet Explorer (IE5, IE6 e IE7) e Firefox (FF1.0, FF1.5 e FF2.0).
http://blogs.technet.com/security/attachment/2594822.ashx
Il risultato di questa analisi è che Internet Explorer ha avuto meno vulnerabilità rispetto a Firefox, nel periodo di 3 anni che va dal novembre 2004 fino ad oggi.

numero di vulnerabilità scoperte e corrette dal 10 novembre 2004 fino ad oggi, altamente critiche (rosso), mediamente critiche (arancione) e non critiche (verde)

Meditate gente… Meditate…

Saluti da P4

Annunci

Gravissima falla di sicurezza in Apple QuickTime 7.3: gli utenti di Firefox sono più a rischio rispetto a quelli che usano IE7

L’altro giorno è stata scoperta l’ennesima nuova falla di sicurezza in Apple QuickTime 7.3 mediante il protocollo RTSP, che permette di eseguire codice arbitrario da remoto quando viene visualizzato un filmato .mov dal web. L’exploit che sfrutta questa vulnerabilità è stato reso pubblico.

Una cosa interessate da osservare è che gli utenti di Firefox sono più a rischio rispetto a quelli che usano IE7, infatti Firefox effettua la richiesta direttamente al player QuickTime il quale viene eseguito in un processo separato e quindi finisce fuori dal controllo di Firefox, mentre IE7 carica il player QuickTime come plug-in interno e quindi quando si verifica un buffer overflow, scatta la protezione standard da buffer overflow presente in IE7 (in quanto IE7 è stato compilato con l’opzione di protezione dai buffer overflow) che forza la chiusura dei processi affetti, prima che possano causare danni (vedi fig. sotto che mostra come IE7 si riesca a difendere dall’exploit che sfrutta questa falla di QuickTime).
http://www.symantec.com/enterprise/security_response/weblog/2007/11/0day_exploit_for_apple_quickti.html

 

Meditate gente… Meditate…

Saluti da P4

Gravissima falla di sicurezza in Apple Mac OS X 10.5.1 Leopard: esecuzione di comandi arbitrari da remoto in Apple Mail

E’ stata scoperta una gravissima falla di sicurezza su Apple Mac OS X 10.5.1 Leopard in Apple Mail, che permette di eseguire comandi di shell arbitrari quando un utente apre un allegato con un’estensione considerata come "sicura" (es. immagine .jpg). Quando si fa click sull’allegato, viene automaticamente eseguito uno script di comandi di shell arbitrari, senza alcuna richiesta di conferma.
http://secunia.com/advisories/27785/
http://www.securityfocus.com/bid/26510

Nel momento in cui scrivo NON è disponibile alcuna patch.

Interessante notare che questa era una vecchia vulnerabilità corretta sul Mac OS X 10.4, ma ricomparsa nuovamente in Leopard.
http://www.heise-security.co.uk/news/99257

Meditate gente… Meditate…

Saluti da P4

NEW aggiornamento che migliora la Compatibilità, l’Affidabilità e la Stabilità di Windows Vista – (KB941649)

Microsoft ha rilasciato su Windows Update un nuovo aggiornamento per Windows Vista che migliora la compatibilità, l’affidabilità e la stabilità di Windows Vista.
Precedentemente, ad agosto, erano stati rilasciati su Windows Update altri 2 aggiornamenti che miglioravano le prestazioni e l’affidabilità.

Con questo nuovo aggiornamento, Microsoft ha voluto sottolineare ancora una volta l’importanza di Windows Update come strumento per distribuire aggiornamenti che migliorano il sistema operativo e quindi il fatto che non è necessario attendere il Service Pack 1 di Windows Vista, dato che gli aggiornamenti vengono via via rilasciati su Windows Update non appena sono pronti ossia quando superano i test di qualità.

Con Windows Update di Windows Vista assicuratevi che sia stato scaricato ed installato in automatico questo aggiornamento KB941649 (Start –> Scrivere: update (la ricerca automaticamente selezionerà la voce Windows Update), premere Invio e clickare su Visualizza cronologia aggiornamenti):

32-bit: http://www.microsoft.com/downloads/details.aspx?FamilyID=e3992046-32b9-4a0d-9e02-acba698aa675&DisplayLang=it
64-bit: http://www.microsoft.com/downloads/details.aspx?FamilyID=06011901-df0c-4474-8c2c-72c09b7cec04&DisplayLang=it

Saluti da P4

Il 13 novembre Microsoft rilascerà 1 patch di sicurezza per Windows XP SP2

Il 13 novembre Microsoft rilascerà 1 patch di sicurezza per Windows XP SP2 classificata come critica

Windows XP SP2	critica
Windows Vista	non affetto

In più, come sempre, ci sarà anche lo Strumento di rimozione malware v1.35 di novembre

Saluti da P4

NEW Windows Live Messenger 8.5 e Windows Live Writer – versioni finali

Sono state rilasciate le versioni finali di Windows Live Messenger 8.5 (v8.5.1302.1018) e Windows Live Writer (v12.0.1366.1026).
Vi ricordo che Windows Live Messenger 8.5, Windows Live Writer e tutti gli altri prodotti della suite Live, si aggiornano automaticamente tramite Windows Update.

Download qui:
http://g.live.com/1rewlive/it/WLInstaller.exe

UPDATE 12 dicembre: Windows Update mi ha scaricato ed installato in automatico un nuovo aggiornamento per Windows Live Writer che lo porta alla nuova versione v12.0.1367.1128

Saluti da P4

Gravissime falle di sicurezza in Apple QuickTime 7.2: esecuzione di codice arbitrario da remoto mediante filmati MOV, QTVR e immagini PICT

Sono state scoperte gravissime falle di sicurezza in Apple QuickTime 7.2 che permettono di eseguire codice arbitrario da remoto, quando si visualizzano filmati MOV, QTVR e immagini PICT appositamente creati ad hoc per exploitare queste vulnerabilità. E’ presente anche una falla di sicurezza che permette alle applet Java marcate come "non sicure" o untrusted, di scalare i privilegi Java.
http://docs.info.apple.com/article.html?artnum=306896

Chi usa QuickTime è caldamente invitato ad aggiornarsi alla nuova versione 7.3 che corregge queste gravissime falle di sicurezza. Anche gli utenti di QuickTime Alternative nei prossimi giorni dovranno aggiornarsi alla nuova versione, dato che QuickTime Alternative usa lo stesso motore di QuickTime.

Saluti da P4