Informatic News

Apple, ha rilasciato alcuni aggiornamenti per correggere alcuni bug riscontrati in QuickTime.

La versione 7.3 corregge ben 7 vulnerabilità che affliggevano le versioni precedenti.

In particolar modo, il problema riguardava la gestione dei file video in formato MOV e QTVR e delle immagini PICT.

Quattro di questi sette bug, dopo la visione di un filmato pericoloso, potevano provocare la chiusura inattesa delle applicazioni o l’esecuzione arbitraria di codici maligni.
Lo stesso accedeva con l’apertura di immagini con estensioni PICT.
Invece l’ultimo bug riscontrato, riguardava l’ applet Java, che potevano consegnare ad un maleintenzionato dei privilegi sul pc vittima.

Per maggiori informazioni potete consultare le release note.

Download:

QuickTime 7.3
Tramite Aggiornamento software in Mac OS X

[Fonte: MrWebMaster]

Popularity: 41% [?]

Opera ha rilasciato alcuni aggiornamenti, per correggere alcuni bugs riscontrati sul fronte della sicurezza, e definiti da Secunia come High Critical.

I bugs più pericolosi sono principalmente due, e riguardano feed readers e programmi di posta esterni (che permettevano l’esecuzione di codice malevole), e il secondo permetteva l’esecuzione di scripts pericolosi a causa di un’errata gestione dei frames.

Download: Opera 9.24

[Fonte: MrWebMaster]

Popularity: 24% [?]

Sembra una cosa un pò strana, ma invece è proprio realtà, e se il problema dovesse essere confermato significherebbe che la falla, trovata nella gestione URI (Uniform Resource Identifier) non sta tanto nei sistemi ma nelle modalità comuni in cui viene utilizzata la risorsa.

Il problema non è affatto da non considerare visto che i moduli URI sono infatti l’architettura grazie alla quale un sistema operativo entra in comunicazione con un’applicazione.

Vedremo se il problema riguarda solo Windows -sistema dove è stata scoperta per prima il bug- o anche altri sistemi operativi.

[Fonte: MrWebMaster]

Popularity: 31% [?]

Sono presenti della gravi falla in alcune versioni di JRE (Java Runtime Environment), JDK (Java Development Kit) e SDK (Software Development Kit).

Le versioni precisamente interessate sono:

• Sun Java JDK 1.5.x
• Sun Java JDK 1.6.x
• Sun Java JRE 1.3.x
• Sun Java JRE 1.4.x
• Sun Java JRE 1.5.x / 5.x
• Sun Java JRE 1.6.x / 6.x
• Sun Java SDK 1.3.x
• Sun Java SDK 1.4.x

Ad annunciare il pericolo è la stessa SUN, che annuncia che sono già pronte delle patch che vanno a correggere i problemi riscontrati.

Download Patch

JDK and JRE 6 Update 3

JDK and JRE 5.0 Update 13

SDK and JRE 1.4.2_16

SDK and JRE 1.3.1 for Solaris 8

Maggiori informazioni si posso avere sul sito di Secunia.

[Fonte: Secunia.com]

Popularity: 72% [?]

Secunia, ha reso pubblico un bollettino di sicurezza, dove evidenzia due bug che classifica come Extremely Critical (5 of 5), il massimo della pericolosità.

Le vulnerabilità comprendono dug falle nei controlli ActiveX, che possono essere sfruttate per compromettere il sistema dell’utente.

Il primo bug, è un errore in Yahoo! Webcam Upload (ywcupl.dll), che può essere sfruttato per un attacco stack-based buffer overflow.
E il secondo bug è un errore in Yahoo! Webcam Viewer (ywcvwr.dll), che anche in questo caso, può essere sfruttato per un attacco stack-based buffer overflow.

Le vulnerabilità sono confermate nella versione 8.1.0.249, anche se le altre versioni non sono del tutto indenne.

La soluzione per rimediare, è quello di regolare i kill-bit dei controlli ActiveX

Popularity: 37% [?]

E’ stata trovato su Milw0rm, un nuovo bug che colpisce il nuovo Wordpress 2.2.

La vulnerabilità è di tipo SQL injection, inerente al file xmlrpc.php.

Il nuovo bug scoperto non è molto grave, visto che per essere sfruttato, si deve essere registrato al blog, come Subscriber.

Per risolverlo, bisogna sostituire il rigo

$max_results = $args[4];

con

$max_results = (int) $args[4];

Popularity: 31% [?]

Secunia, annuncia, una nuova vulnerabilità in CA Anti-Virus, classifica come Highly Critical (4 of 5)

Gli exploit, possono essere sfruttati da un malentenzionato, grazie a due vulnerabilità, nei database CAB

Il primo bug provoca un errore in vete.dll, e può essere sfruttato per attaccare la vittima tramite stack-based buffer overflow.
Il secondo invece è un errore di convalida dell’ input, del processo coffFiles, sempre negli archivi CAB, e anche in questo caso può essere sfruttato tramite stack-based buffer overflow.

Nel caso, un malentenzionato riuscisse a sfruttare questi due bug, potrebbe eseguire codici maligni.

Le vulnerabilità sono segnalate nei seguenti prodotti:

• CA Anti-Virus for the Enterprise (precedentemente eTrust Antivirus) r8, r8.1
• CA Anti-Virus 2007 (v8)
• eTrust EZ Antivirus r7, r6.1
• CA Internet Security Suite 2007 (v3)
• eTrust Internet Security Suite r1, r2
• eTrust EZ Armor r1, r2, r3.x
• CA Threat Manager for the Enterprise (precedentemente eTrust Integrated Threat Management) r8
• CA Protection Suites r2, r3
• CA Secure Content Manager (formerly eTrust Secure Content Manager) 8.0
• CA Anti-Virus Gateway (formerly eTrust Antivirus eTrust Antivirus Gateway) 7.1
• Unicenter Network and Systems Management (NSM) r3.0
• Unicenter Network and Systems Management (NSM) r3.1
• Unicenter Network and Systems Management (NSM) r11
• Unicenter Network and Systems Management (NSM) r11.1
• BrightStor ARCserve Backup r11.5
• BrightStor ARCserve Backup r11.1
• BrightStor ARCserve Backup r11 per Windows
• BrightStor Enterprise Backup r10.5
• BrightStor ARCserve Backup v9.01
• CA Common Services
• CA Anti-Virus SDK (precedentemente eTrust Anti-Virus SDK)

E’ raccomandato il download alla versione 30.6.

Fonte: Secunia.com

Popularity: 24% [?]

Google Desktop noto software di Google, (maggiori informazioni si possono trovare qui), è affetto da un pericoloso bug, scoperto da un esperto informatico: Robert Hansens.

L’ attacco, può essere eseguito tramite il metodo Man in the middle, che permette all’ attakker, di mettersi fra il server e la vittima, e di eseguire a nome del software colpito, i comandi che vuole. (Maggiori informazioni su questo attacco, si trovano su wikipedia)

Inoltre Robert Hansens, ha messo a disposizione un video, sull’ attacco, e aggiunge che il bug, può essere sfruttato solo da chi ha una buona esperienza con l’ attacco Man in the middle.

Popularity: 33% [?]

E’ stato fatto dal personale di crn.com, un confronto fra i due sistemi operativi più recenti di casa Microsoft: Windows XP e Windows Vista.

Il test, fatto su medesimi computer, e sottoposti a medesimi virus e exploit, è il risultato, di una notizia, da non rimanere molto sorpresi, perchè già da tempo si sapeva, e tali test, sono stati fatti da tanta gente, con quasi sempre lo stesso risultato: Windows Vista, è leggermente più sicuro di Windows XP.

Un risultato, che come detto prima non sorprende poi così tanto, visto che già da tanto tempo, i sostenitori del software libero, denunciavano questo aspetto, forse troppo sottovalutato, probabilmente per ignoranza e involontariamente, dall’ utenza meno informata.

Ma forse il dato peggiore, è il fatto che in Windows Vista, risiedono ancora bug conosciuti dal team di Microsoft già da un pò, e ancora non risolti.

E’ un dato, questo, che va a favore del software libero e open source, in particolare alla “concorrenza”: Linux, che già dall’ ininzio, non ha mai avuto così tanti problemi di sicurezza quanto Windows.

L’ unica “salvezza”, se cosi si può chiamare, per il nuovo sistema operativo di casa Microsoft, è che Windows Vista, è un sistema “giovane”, ma questo, però non è una buona scusa per spiegare così tanti bug e virus, esistenti per i sistemi Windows.

Fonte: Sismi.info

Popularity: 56% [?]

Sono stati rilasciati gli aggiornamenti per SeaMonkey.

Si tratta di patch che vanno a correggere alcuni problemi di sicurezza riguardanti XUL Popup Spoofing, XSS using addEventListener, Security Vulnerability in APOP Authentication, Crashes with evidence of memory corruption e Path Abuse in Cookies, e problemi di stabilità del software.

E’ consigliato a tutti il download alla versione aggiornata.

Fonte: Mozillazine.org

Popularity: 42% [?]