RAI e YouTube; due falle in Windows; mouse per WoW; EEE PC 901

RAI assieme a YouTube per la diffusione di contenuti sul web
“In netta controtendenza rispetto all’approccio battagliero di Mediaset, RAI si avvicina al web con YouTube. L’accordo non può che giovare alle casse del gigante del video streaming.”

Due importanti falle nel kernel Windows
“SkyRecon ha individuato due falle a livello kernel che affliggono i sistemi operativi Microsoft Windows in differenti versioni”

Un mouse per World of Warcraft
“SteelSeries annuncia la prossima disponibilità di un mouse dedicato ed ispirato al celebre gioco di ruolo online di Blizzard”

EEE PC 901 go: liberi di comunicare
“Le sorprese nel mondo ‘Eee’ non finiscono mai. ASUS è, infatti, pronta al lancio del nuovo Eee PC 901 GO, dedicato a chi desidera comunicare ovunque senza limiti.”

Falla TCP; film gratis su Facebook; la pre-beta di Windows 7

Falla TCP, a rischio l’intera rete
Due ricercatori svedesi hanno scoperto alcune vulnerabilità insite nello stack TPC, in grado di portare ad un attacco di tipo Denial-of-Service. Al momento la falla rimane scoperta mentre gli enti deputati alla sicurezza indagano sul problema

Facebook consentirà la visione di film. Gratis
Il social network aprirà le sue porte ai film visti legalmente e gratis grazie ad una prossima applicazione in cantiere da parte della società Slide che ha anche già stretto i primi accordi con i fornitori di contenuti. Ma non sarà il solo

In arrivo la pre-beta di Windows 7
Dopo numerosi rumors, giungono le prime conferme: nel corso della prossima Professional Developers Conference di ottobre, Microsoft rilascerà agli sviluppatori una prima pre-beta di Windows 7. Il nuovo sistema operativo sostituirà Vista nel 2010

Firefox: attesa una patch critica per il prossimo 5 Febbraio

La falla di sicurezza è stata scoperta da poco più di una settimana ma soltanto ieri il livello di pericolosità della stessa è stato elevato. Windows Snyder, chief security officer di Mozilla Corporation, ha confermato la presenza della vulnerabilità in Firefox spiegando che potrebbe essere sfruttata da aggressori remoti per raccogliere informazioni sul sistema dell’utente, inclusi dati di sessione, cookie e cronologia.
Snyder, tuttavia, ha voluto chiarire che Firefox non è di per sé vulnerabile, almeno nella sua configurazione predefinita: “solamente gli utenti che hanno installato estensioni facenti uso di un pacchetto flat, piuttosto che di un singolo archivio in formato Java (.jar), sono potenzialmente a rischio“.
Una lista parziale delle tantissime estensioni che utilizzano una struttura “flat” è stata pubblicata su Bugzilla.
Snyder ha invitato tutti gli sviluppatori di estensioni ad aggiornare le proprie estensioni creando pacchetti in formato Java Archive (.jar) così da renderle immuni al problema di sicurezza.
Contemporaneamente, da Mozilla si fa presente che la vulnerabilità sarà risolta con il rilascio della prossima versione di Firefox (2.0.0.12) il cui lancio è stato posticipato al prossimo 5 Febbraio.

Fonte: Il Software

Falla di sicurezza in Mozilla Firefox: presto la patch

Window Snyder, chief security officer di Mozilla Corporation, ha confermato la presenza di una falla di sicurezza in Firefox che potrebbe consentire ad aggressori remoti di raccogliere informazioni in uso sul sistema dell’utente.
Il problema, ha spiegato Snyder, risiede nel protocollo “chrome” utilizzato da Firefox per la gestione dell’interfaccia grafica del browser. La vulnerabilità potrebbe essere sfruttata installando una delle tante estensioni per il prodotto di Mozilla facenti uso di una struttura “flat” piuttosto che di un singolo archivio in formato Java (.jar).
Spronando l’utente a visitare una pagina web maligna, gli aggressori potrebbero così ricavare informazioni sulla configurazione della macchina in uso, dati preziosi per mettere in atto altre tipologie di attacco. “Utenti malintenzionati potrebbero sviluppare pagine in grado di rilevare la presenza di particolari file sul sistema client collegato. In questo modo potrebbero essere raccolte informazioni utili per sferrare altri attacchi“, ha commentato Snyder.
Secondo quanto riportato su Bugzilla, il sito web di Mozilla dedicato al monitoraggio ed alla gestione dei bug, gli sviluppatori di Firefox sarebbero già al lavoro per rilasciare una patch risolutiva.
Nel frattempo, gli autori di due estensioni citate da Snyder – Statusbar e GreaseMonkey – hanno subito provveduto a rendere disponibili versioni aggiornate.
Sebbene Snyder abbia ridimensionato la pericolosità complessiva della vulnerabilità, l’autore della scoperta – Gerry Eisenhauer – osserva come per il momento si abbia a che fare solo con la possibilità, per un aggressore, di recuperare informazioni sul sistema. Questo tipo di modalità di attacco è però assai sfaccettata, rimarca Eisenhauer, ed ha un grosso potenziale.

Fonte: Il Software

Insicurezza marchiata Skype

Aviv Raff, un esperto in sicurezza informatica, ha scoperto un nuovo bug in Skype e ne dà dimostrazione sul proprio blog.

In sostanza, in certe condizioni anche l’ultima release di Skype 3.6.0.244 consentirebbe l’esecuzione di codice maligno ai danni degli utilizzatori di Internet Explorer.

Infatti il browser di Microsoft utilizza in Skype le regole di “Local Zone” per generare le pagine interne ed esterne in Html, ma un errore, relativamente frequente, di scripting potrebbe favorire l’esecuzione di codice potenzialmente dannoso che altrimenti richiederebbe permessi maggiori per girare.

Un altro esperto in sicurezza, Petko Patkov, afferma che quando una determinata risorsa viene eseguita a livello di Local Zone, in teoria è possibile che venga eseguita qualsiasi attività non voluta in modo assolutamente libero e nascosto, compresa la lettura e scrittura dei file sul disco e il lancio di programmi eseguibili.

In particolare Skype potrebbe essere vittima di malware perché il sito web usato per le ricerche video è vulnerabile al cross scripting; difatti, in attesa di una patch ufficiale, l’editore ha temporaneamente disabilitato le funzioni relative agli add video per eliminare la possibilità di diffusione di codice maligno attraverso una pagina web “ritoccata”.

Fonte: Zeus News

Skype: attenzione alle nuove falle di sicurezza

Aggressori remoti possono potenzialmente essere in grado di sfruttare alcune vulnerabilità di sicurezza scoperte in Skype, il famoso software VoIP.
A rendersi protagonista della notizia è stato Aviv Raff, noto ricercatore israeliano, che ha spiegato come malintenzionati possano eseguire codice nocivo sul sistema-vittima inducendo l’utente ad aprire file video maligni.
“Skype utilizza un controllo integrato in Microsoft Internet Explorer per il rendering di pagine HTML visualizzate internamente od esternamente al client VoIP“, ha dichiarato Raff. “Il problema è che Skype opera nella modalità Intranet locale di Internet Explorer ed è noto come a questo livello il comportamento delle pagine web non venga in alcun modo limitato“.
Traduzione: nel caso in cui un aggressore riesca ad “iniettare” del codice nocivo in una delle pagine HTML trattate da Skype, potrebbe essere in grado di compiere operazioni veramente pericolose sul computer dell’utente.
Raff ha pubblicato anche una dimostrazione pratica del possibile attacco: richiamando una pagina contenente contributi video da Skype, attraverso la funzione “Chat” od “Aggiungi video”, viene eseguito codice arbitrario.
Petko Petkov ha fatto eco alla scoperta spiegando come l’attacco risulti davvero semplice da mettere in atto.
Skype ha riconosciuto la presenza del problema di sicurezza confermando come interessi tutte le versioni per Windows del prodotto. Il bollettino pubblicato da Skype assegna il massimo grado di pericolosità alla vulnerabilità in questione.
Per il momento non è ancora disponibile una patch. L’azienda si è quindi affrettata a disattivare temporaneamente la funzionalità che può permettere agli aggressori di far leva sulla vulnerabilità. Il consiglio è quindi quello di scaricare ed installare immediatamente l’ultima versione del client VoIP.
Secondo il ricercatore Petko Petkov vi sarebbero però altre pericolose vulnerabilità che Skype non ha ancora preso in considerazione.

Fonte:Il Software

Excel: scoperta una vulnerabilità estremamente critica

Microsoft ha appena pubblicato un bollettino con il quale conferma la scoperta di una pericolosa vulnerabilità in molteplici versioni di Excel. La falla di sicurezza sarebbe attualmente sfruttata per condurre attacchi ed eseguire codice dannoso sul sistema dell’utente.

Stando a quanto reso noto, a rischio sarebbero gli utenti dei prodotti seguenti: Excel 2003 Service Pack 2, Excel Viewer 2003, Excel 2002, Excel 2000 ed Excel 2004 for Mac.

Secunia, azienda danese attiva nel campo della sicurezza informatica, ha immediatamente bollato la vulnerabilità come “estremamente critica” suggerendo agli utenti di evitare l’apertura di documenti in formato Excel provenienti da fonti non “fidate”, fintanto che Microsoft non avrà rilasciato una patch risolutiva.

Un aggressore può infatti “confezionare” un documento in formato Excel modificandolo opportunamente in modo tale da far leva sul problema di sicurezza scoperto. Nel momento in cui l’utente tenterà di aprire il file su una macchina vulnerabile, il suo sistema diverrà immediatamente oggetto di attacco. L’esecuzione di codice arbitrario, e quindi potenzialmente nocivo, è causata da una scorretta gestione da parte di Excel delle informazioni memorizzate nell'”intestazione” del file.

Agli utenti di Excel 2003, Microsoft suggerisce di fare uso di “MOICE” (Microsoft Office Isolated Conversion Environment) per aprire in modo sicuro qualsiasi tipo di documento. Per maggiori informazioni, è possibile consultare il bollettino ufficiale.

Il problema di sicurezza non riguarda Excel 2003 Service Pack 3, Excel 2007, Excel 2007 Service Pack 1 ed Excel 2008 for Mac.

Fonte: Il Software