Adobe importanti aggiornamenti

Questa settimana sono stati rilasciati importanti aggiornamenti di sicurezza.

Per le versione di Adobe Flash Player 9 e 10 è stata rilasciata Adobe Flash Player 10.0.32.18 che risolve dodici pericolosi bug di sicurezza.

Ma anche per Adobe Flash Player, Adobe Reader e Acrobat  sono disponibili degli aggiornamenti di sicurezza relativamente a una vulnerabilità critica che potrebbe consentire ad eventuali aggressori di assumere il controllo del sistema interessato.

È consigliabile aggiornare le versioni in uso sui vari browser che avete installato.

Software interessato:

Adobe Flash Player 9.0.159.0 e precedenti versioni 9.xe 10.x

Adobe Flash Player 10.0.22.87 e precedenti versioni 9.xe 10.x
Adobe AIR 1.5.1 e versioni precedenti
Adobe Reader e Acrobat 9.1.2 e precedenti versioni 9.x
Adobe Shockwave Player 11.5.0.596 e versioni precedenti

Se non sapete quale versione è installata sul vostro pc, è sufficiente visitare la pagina apposita in modo da poterlo verificare.

Maggiori info e tutti gli aggiornamenti si possono trovare sul sito di Adobe

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Nuova falla critica per Adobe

Purtroppo continuano a saltar fuori falle pericolose per il noto lettore di PDF, la stessa Adobe riporta sul suo sito: «Una vulnerabilità critica è presente nelle attuali versioni di Flash Player (v9.0.159.0 and v10.0.22.87) per i sistemi operativi Windows, Macintosh e Linux, e nel componente authplay.dll compreso in Adobe Reader e Acrobat v9.x per Windows, Macintosh e Unix.

La vulnerabilità segnalata è:

APSA09-03 Security Advisory for Adobe Reader, Acrobat and Flash Player

Questa vulnerabilità potrebbe causare dei crash di sistema e potrebbe consentire a un utente malintenzionato di ottenere il controllo dei sistemi colpiti».

Anche Symantec ha segnalato la presenza del pericoloso bug sul proprio blog.

Gli applicativi colpiti sono Acrobat, Flash Player e Reader di Adobe e per infettare il computer è sufficiente aprire il file “incriminato”per eseguire il codice dannoso segnalato come Trojan.Pidief.G.

Per il momento, non essendo ancora pronta la patch, Adobe suggerisce di rinominare o eliminare l'accesso ai file che authplay.dll dalla cartella Adobe Reader e Acrobat v9.x.

Io suggerisco nuovamente di passare, anche solo momentaneamente ad un'altro lettore come:

- Foxit Reader
- Sumatra PDF Viewer
- PDFreaders.org
- PDF-XChange Viewer

Altre info sul sito di Adobe.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

È arrivata la patch anche per Firefox

Come vi avevo anticipato i primi di luglio, Mozilla ha rilasciato la prima patch di sicurezza della nuovissima versione di Firefox 3.5.

Come sempre il Team di Mozilla sono rapidissimi nel risolvere i bug (per fortuna), ed hanno rilasciato il 17 luglio la nuova versione 3.5.1.

Sul sito Mozilla è possibile scaricare la nuova versione già corretta, anche se ultimamente sono circolate voci su un nuovo probabile bug che affligge anche quest'ultima versione.

Da parte sua Mozilla sostiene che non vi è nessun bug pericoloso, ma conferma alcune anomalie di crash inaspettati.

Il responsabile tecnico Mike Shaver ha spiegato tramite un post sul blog di Mozilla che le segnalazioni di questa nuova falla avrebbero "indicato in modo erroneo che si tratti di un bug sfruttabile", mentre le valutazioni dello staff di Firefox indicano che non lo è e che "non sono stati evidenziati esempi" di exploit, cioè di codice fatto per "bucare" Firefox 3.5.1.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Aggiornamenti di sicurezza Microsoft luglio

Martedì 14 luglio Microsoft ha rilasciato la consueta patch di sicurezza. Questo mese sono 6 i bollettini e risolvono ben 9 vulnerabilità, tra cui la grave falla di sicurezza per Microsoft relativa al bug Video ActiveX Control. Ecco il dettaglio della patch:

MS09-029  Alcune vulnerabilità nel motore per caratteri Embedded OpenType possono consentire l'esecuzione di codice in modalità remota (961371)

Questo aggiornamento per la protezione risolve due vulnerabilità nel motore per caratteri Embedded OpenType (EOT), componente di Microsoft Windows. Tali vulnerabilità sono state segnalate privatamente. Le vulnerabilità possono consentire l'esecuzione di codice in modalità remota. Sfruttando una di queste vulnerabilità, un utente malintenzionato può assumere il controllo completo del sistema interessato in maniera remota. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
   
MS09-028  Alcune vulnerabilità in Microsoft DirectShow possono consentire l'esecuzione di codice in modalità remota (971633)

Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente e due vulnerabilità segnalate privatamente di Microsoft DirectShow. Tali vulnerabilità possono consentire l'esecuzione di codice in modalità remota al momento dell'apertura di un file multimediale QuickTime appositamente predisposto. Sfruttando una di queste vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.  

MS09-032  Aggiornamento cumulativo per la protezione dei kill bit di ActiveX (973346)

Questo aggiornamento per la protezione affronta una vulnerabilità che è stata segnalata privatamente. La vulnerabilità presente nel controllo ActiveX Microsoft Video può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer, creando il controllo ActiveX. Non è mai stata prevista la creazione di istanze del controllo ActiveX in Internet Explorer. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
  
MS09-033  Una vulnerabilità in Virtual PC e Virtual Server può consentire l'acquisizione di privilegi più elevati (969856)

Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Virtual PC e Microsoft Virtual Server che è stata segnalata privatamente. Un utente malintenzionato che sfrutti questa vulnerabilità potrebbe eseguire codice non autorizzato e acquisire il controllo completo del sistema operativo guest interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.
  
MS09-031  Una vulnerabilità di Microsoft ISA Server 2006 può consentire l'acquisizione di privilegi più elevati (970953)

Quest'aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente n Microsoft Internet Security and Acceleration (ISA) Server 2006. La vulnerabilità può consentire l'acquisizione di privilegi più elevati se un utente malintenzionato riesce ad agire per conto di un account utente amministrativo per un server ISA configurato per l'autenticazione Radius One Time Password (OTP) e per la delega dell'autenticazione con la delega vincolata Kerberos.
   
MS09-030  Una vulnerabilità in Microsoft Office Publisher può consentire l'esecuzione di codice in modalità remota (969516)

Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Office Publisher che può consentire l'esecuzione di codice in modalità remota se un utente apre un file Publisher appositamente predisposto. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Google elimina gli aggiornamenti in background

Gli aggiornamenti automatici sono da sempre un problema, tornano utili per chi si dimentica di aggiornare i programmi sul proprio computer, ed in questo modo si risolvono i bug che permettono di infettare moltissimi computer, ma sono anche ritenuti invasi da molti utenti, soprattutto quando questi non sono comunicati all'utente.

Proprio in questi giorni fervono discussioni sull'aggiornamento che Microsoft ha effettuato il 9 giugno, che nonostante il proprio sistema fosse configurato per non installare in automatico degli update, l'aggiornamento si è attivato ugualmente, confermato dalla Società di Redmond.

Al di là delle discussioni che potrebbero sorgere, non è la prima volta e non sarà l'ultima.

Anche Google, come molte altre aziende che forniscono software, quali per esempio gli antivirus, utilizza la funzione Google Up-date in background, fino ad oggi.

Andando incontro alle richieste degli utenti, il colosso di Mountain View, ha apportato delle modifiche al funzionamento di questo meccanismo, il software di aggiornamento ora utilizzerà la funzionalità "Operazioni pianificate" di Windows per eseguirsi ad intervalli regolari.

Lo potete verificare andando su pannello di controllo e appunto operazioni pianificate, troverete la voce Google Software Up-date.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Grave falla di sicurezza per Microsoft

Altra falla per Microsoft che coinvolge i browser I.E. 6 e 7, dove è stato scoperto un bug che mette a rischio il Video ActiveX Control.

La stessa Microsoft ne dà comunicazione con due avvisi, il primo è del 3 di giugno 971778, il secondo del 6 luglio 972890 descrive che il problema risiede in una componente di DirectShow che interessa i sistemi operativi Microsoft Windows XP e Windows Server 2003.

In attesa della patch, che probabilmente sarà pronta tra qualche settimana, per risolvere momentaneamente questo problema da Redmond suggeriscono l'utilizzo dei tool automatici Fix it di cui vi avevo parlato all'inizio dell'anno. I fix it sono 972890 e 971778.

Si ricorda che è importante aggiornare l’antivirus, in quanto molti produttori hanno già aggiornato i propri software e sono in grado di riconoscere e bloccare l'exploit.

Altre info da Secunia e McAfee.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

In arrivo la prima patch Firefox 3.5.1

Mozilla ha già pronto un aggiornamento alla nuovissima versione di Firefox.

La patch potrebbe essere rilasciata tra la metà e fine luglio, che correggerà alcuni bug della la nuova edizione del browser web open source di Mozilla.

I bug da correggere la momento sono tre tra cui anche la risoluzione di alcuni crash segnalati dagli utenti del browser, tra cui anche il mio ha questo problemino, ma risolverà anche un problema di crittografia in Windows XP.

Come sempre Mozilla è sempre molto veloce nel porre rimedio ai problemi di sicurezza e funzionalità del proprio browser.

Per approfondimenti potete consultare il sito Mozilla (in inglese).

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

10 motori di ricerca molto alternativi

L'invenzione dei motori di ricerca ha trasformato e semplificato la navigazione in rete degli utenti ma, come noto, non sempre le indagini vanno a buon fine.

Come avevo accenato in un commento al post "10 alternative quando il motore di ricerca Google si blocca", volevo segnalarvi altri motori di ricerca determinati che si occupano di ricerche specifiche.

- Acronym Finder Servizio gratuito specializzato negli acronimi in lingua inglese ma ve n'è qualcuno anche in italiano.

- Collecta cattura le notizie in tempo reale dal web, news, articoli da blogs, immagini e da reti sociali come Facebook, Twitter e Flickr.

- AnthroSearch, è un motore di ricerca per l'antropologia, realizzato da Antrocom Onlus, associazione che si occupa di ricerca e divulgazione antropologica.

- Veesual è un motore di ricerca, basato sul famosissimo Google, che permette di effettuare ricerche visuali, tramite un’anteprima della relativa pagina Web.

- Se siete programmatori, allora potreste aver bisogno di Krugle, motore di ricerca per trovare informazioni tecniche sul codice sorgente, nei risultati si possono trovare: frammenti di codice ed informazioni tecniche legate al contesto della nostra ricerca, con informazioni su licenze, bug segnalati etc ...

- VIEWZI, qui invce potete sbizzarirvi, il servizio fornisce una ricerca multipla con 14 differenti moduli di ricerca: video, meteo, foto, ricette di cucina, testi, audio, libri, notizie e altro ancora.

- Livekick il motore di ricerca concerti, ancora in beta testing, ma utilissimo.

- eMugle, già il nome dovrebbe farvi capire di cosa si tratta, motore di ricerca del p2p per lo scambio di file sulla rete Edonkey.

- gdocu è un motore di ricerca sviluppato da un gruppo di giovani programmatori italiani. Permette di rintracciare i file, tipo word, pdf e power point o altri, sul Web.

- TinEye è un motore di ricerca immagini che consente di risalire a tutti i siti che hanno utilizzato una particolare immagine.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Ancora più inattesa la RC3 di Firefox

Davvero inaspettatamente Mozilla ha rilasciato, a distanza di pochissimi giorni, la Release Candidate 3 per Firefox.

Appena lunedì era stata rilasciata la RC2.

Correzione dell'ultima ora di alcuni bug in previsione dell'imminente rilascio della versione finale 3.5 che sostituirà l'attuale browser di casa Mozilla.

Le novità che porterà la nuova versione di Firefox 3.5 si possono vedere nel video dimostrativo.

Potete consultare le note di versione, in inglese, se invece volete scaricare la beta la trovate sul sito ufficiale di Mozilla.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Leggi le altre notizie di Infotecnonews.

Microsoft, Adobe e Apple ieri aggiornati

Ieri gran giornata di aggiornamenti per la sicurezza, tre grosse aziende hanno rilasciato le loro patch.

Microsoft ha rilasciato un aggiornamento solo (MS09-017) ma sistema 14 bug della nota applicazione PowerPoint, ritenuto critico in particolar modo a causa di un exploit già attivo e pronto ad attaccare i sistemi vulnerabili.

Nonostante ciò la patch non copre ancora tutti i sistemi operativi e le varie suite di Office, sono infatti ancora da sistemare:

Microsoft Office 2004 per Mac;
Microsoft Office 2008 per Mac;
Open XML File Format Converter per Mac;
Microsoft Works 8.5;
Microsoft Works 9.0;
PowerPoint Viewer 2003 (KB969615);
PowerPoint Viewer 2007 Service Pack 1 e PowerPoint Viewer 2007 Service Pack 2 (KB970059);
Microsoft Office Compatibility Pack for Word, Excel, e PowerPoint 2007 File Formats Service Pack 1 (KB969618);
Microsoft Office Compatibility Pack for Word, Excel, e PowerPoint 2007 File Formats Service Pack 2 (KB969618);

Microsoft ha diffuso informazioni onde prevenire e destare la massima attenzione da parte degli utenti.

Adobe invece è alle prese con due patch di cui si aveva già notizia a inizio mese.

Ambedue le vulnerabilità sono ritenute critiche, per gli aggiornamenti le trovate qua: APSA09-02 e APSB09-06.

Anche Apple è alle prese con la sicurezza, rilasciate 67 fix che possono essere scaricate tramite l'aggiornamento Software, o da Apple Downloads.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Rilasciato Open Office 3.1.0

È stata rilasciata la versione 3.1.0 di Open Office, la suite alternativa ad Office di Microsoft, disponibile anche in italiano.

Questa volta le novità sono moltissime, infatti non si tratta di un semplice restyling, tant'è che solo per il miglioramento grafico ha subito la completa riscrittura del modulo (circa mezzo milione di linee di codice),oltre ovviamente alla correzione di circa 800 bug.

Ecco le nuove funzionalità:

Miglioramenti Generali

- Visualizzazione degli oggetti grafici sullo schermo

OpenOffice.org utilizza una tecnica definita antialiasing per migliorare il modo in cui "disegna" sullo schermo (linee, cerchi, eccetera), con un impatto evidente sull'aspetto dei grafici, in particolare di quelli business, ovunque essi compaiano all'interno della suite. Questo migliora anche le forme geometriche, nel caso di sovrapposizione tra due forme per creare una forma combinata.

- Trascinamento degli oggetti grafici

Quando si trascina sullo schermo un oggetto all'interno di un disegno, OpenOffice.org mostra una "ombra" dell'oggetto stesso piuttosto che un tratteggio dei bordi, e questo permette di ottenere una maggiore precisione nel posizionamento all'interno dei disegni più complessi.

- Migliore file locking

Quando si lavora all'interno di una rete dove diverse persone hanno accesso allo stesso documento, il file locking impedisce di sovrascrivere le modifiche apportate da altri. OpenOffice.org funziona su più sistemi operativi, per cui non può utilizzare solamente il sistema operativo per comunicare agli utenti quando un documento è già in uso, e ha un meccanismo interno che permette di ottenere un file locking affidabile anche se quello del sistema operativo fallisce, e inoltre di vedere chi ha già aperto il documento.

- Sopralineatura

OpenOffice.org supporta la sopralineatura del testo, che si aggiunge alla sottolineatura offrendo le stesse opzioni (tipo di linea, colore).

Writer (gestione dei testi)

- Selezione del testo

Il testo selezionato viene evidenziato con un colore delicato e non invertendo il video, bianco su nero, per assicurare una maggiore facilità di lettura e quindi d'uso.

- Miglioramenti delle Note

Un gruppo di persone che redige lo stesso testo può discutere utilizzando le note, grazie alla possibilità di rispondere attivata dal tasto destro del mouse. La funzione di ricerca indicizza e ricerca anche il testo delle note.

- Integrazione del Correttore Grammaticale

Il correttore grammaticale "LanguageTool" - disponibile come estensione - è accessibile attraverso il menù Strumenti, Ortografia e Grammatica.

Calc (gestione dei fogli di calcolo)

- Rinomina dei fogli con un doppio click

Il doppio click sulle linguette dei fogli di un documento Calc apre la finestra di dialogo per rinominare il foglio stesso, e questo semplifica l'accesso a una funzione che viene usata più spesso delle altre. Nelle precedenti versioni era necessario fare un doppio click sulla linguetta e poi selezionare l'opzione "rinomina" nella finestra pop up.

- Cursore per l'ingrandimento nella barra di stato

Il cursore per l'ingrandimento nella barra di stato porta all'interno di Calc la funzione di controllo dello zoom introdotta all'interno di Writer con la versione 3.0.

- Autocompletamento delle formule

Calc mostra la sintassi di una formula alla destra delle cella in cui avviene l'inserimento, come promemoria per l'utilizzo della formula.

Chart (gestione dei grafici di analisi)

- Posizionamento flessibile degli assi

I grafici di OpenOffice.org offrono una serie di opzioni per il posizionamento degli assi. Si tratta di una funzione che era stata richiesta da diverso tempo, soprattutto dagli utenti scientifici e scolastici.

- Gestione dei dati mancanti

E' possibile scegliere il modo in cui OpenOffice.org gestisce i dati mancanti: lasciando uno spazio, assumendo che il dato è zero, o continuando la linea attraverso lo spazio del dato mancante.

Impress (gestione delle presentazioni)

- Pulsanti per le dimensioni delle font

Impress ha due pulsanti sulla barra per aumentare o diminuire le dimensioni delle font in modo facile e rapido.

Base (gestione dei database)

- Evidenziazione della sintassi SQL

Durante le operazioni di modifica, Base utilizza i colori per evidenziare la sintassi SQL, e lampeggia per indicare le parentesi corrispondenti (). Questo permette di individuare gli errori in modo più facile.

E' possibile creare uno schema dei colori personalizzato usando Strumenti / Opzioni / OpenOffice.org / Rappresentazione / Evidenziazione Sintassi SQL, e scegliere la font usando Strumenti / Opzioni / OpenOffice.org / Tipi di Carattere. Nella versione MacOS X il percorso Strumenti / Opzioni viene sostituito da Preferenze.

- Applicazioni Macro per Base

È possibile costruire una soluzione completa per la gestione di un database inserendo macro e script all'interno di un documento Base (.odb). La funzione esiste già in altri tipi di documento.

Questo significa che le macro possono essere lanciate sia dal documento sia da uno dei suoi componenti: moduli, report, creazione di tabelle, query e relazioni, visualizzazione dei dati. Si tratta di un un progresso importante per gli utenti che vogliono creare delle "applicazioni pacchettizzate" utilizzando Base.

Supporto Linguistico

- Nuove localizzazioni

Sono disponibili le nuove versioni linguistiche Maltese, Birmano, Shuswap (Canada) e Tok Pisin (Papua New Guinea), che possono essere selezionate come default per il set dei caratteri, il correttore ortografico e il linguaggio del documento, e utilizzate per il formato dei numeri e delle numerazioni.

Inoltre, sono state aggiunte delle varianti arabe alla lista delle lingue disponibili, per il set dei caratteri e il correttore ortografico: Chad, Eritrea, Gibuti, Isole Comore, Israele, Mauritania, Palestina, Somalia e Sudan. La tabella delle lingue e la lista includono una voce "Arabo" (senza regione/paese) che non corrisponde a una versione locale, ma deve essere selezionata quando è installato un qualsiasi pacchetto linguistico Arabo, invece del precedente "Arabo (Egitto)".

- Lingue Destra-Sinistra (RTL)

La lingua Kashmiri Sindhi è classificata come RTL, poiché viene scritta soprattutto con alfabeto Perso-Arabo. La scelta tra direzioni del testo Sinistra-Destra e Destra-Sinistra è stata aggiunta in tutti i menù di controllo dov'era necessaria.

Chart è stato modificato per supportare le lingue RTL: se OpenOffice.org è configurato per la modalità RTL, i grafici vengono creati con orientamento da destra a sinistra, e se necessario l'impostazione può essere modificata per ciascun elemento di testo.

OpenOffice 3.1 è disponibile non solo per piattaforma Windows ma anche per Linux Solaris e Mac Os X ed è tradotta in quasi 30 lingue, compreso l’italiano.

Potete scaricare Open Office 3.1.0 alla pagina del download.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed.

Adobe nuovamente a rischio con due falle

F-Secure, dà comunicazione di due nuove vulnerabilità che colpiscono Adobe Reader. Anche questa volta il bug interessa le porzioni di codice legate a JavaScript: getAnnots () e spell.customDictionaryOpen (), che potrebbero consentire l'esecuzione di codice non autorizzato da parte di un utente malintenzionato.

Come già consigliato da F-Secure la settimana scorsa viene suggerito di passare ad usare un altro lettore di PDF.

Se non è possibile cambiare da Adobe Reader, si raccomanda di disattivare la sua capacità di eseguire JavaScript.

Per farlo basterà andare al menu Modifica dell'applicativo è selezionare la voce "Preferenze", cliccare la voce "JavaScript" e togliere la spunta sull'opzione "Abilita JavaScript di Acrobat" e selezionare infine il tasto "OK" per confermare i cambiamenti appena apportati.

Adobe conferma di essere a conoscenza dei rapporti su una potenziale vulnerabilità in Adobe Reader 9.1 e 8.14, e comunica che stanno al momento investigando per fornire nuovi dettagli appena ci saranno nuove informazioni.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Google Chrome aggiornamento di sicurezza

Non solo Internet Explorer e Firefox sono soggetti a bug, anche il famoso browser di Google, "Chrome", è afflitto da una grave falla, come del resto ogni programma.

Google ha infatti rilasciato la nuova versione Chrome 1.0.154.59 che sana una grave vulnerabilità del suo browser, segnalata da "Roi Saltzman" del IBM Rational Application Security Research Group.

Si tratta di un problema legato ad attacchi cross-site scripting, un errore nella gestione degli URL con un protocollo "chromehtml:" potrebbe consentire a un malintenzionato di eseguire script a sua scelta su una qualsiasi pagina o accedere ad una lista di file sul disco locale.

Se un utente ha installato Google Chrome, visitando in Internet Explorer una pagina web controllata dall'attacker è possibile l'esecuzione di Google Chrome, con apertura di schede multiple, e caricamento di script che si eseguono dopo la navigazione su una URL scelta del malintenzionato.

I dettagli sul problema di sicurezza.

Sul suo blog, Google fornisce maggiori informazioni sulla vulnerabilità.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Mozilla rilascia Firefox 3.0.9

Mozilla ha rilasciato la versione 3.0.9 del noto browser Firefox.

Firefox 3.0.9 risolve diversi problemi individuati in Firefox 3.0.8, sono stati risolti diversi problemi di sicurezza, corretti diversi problemi legati alla stabilità dell'applicazione.

Risolto il problema per cui, a causa del danneggiamento di un database locale, venivano persi i cookie salvati sul computer in uso (bug 470578).

Risolta l'anomalia della non visualizzazione delle immagini allegate ai messaggi e all'interno di alcuni servizi di web mail (come AOL e AIM) non venivano mostrate (bug 482659).

Risolto il problema dell'invio lento di moduli di grandi dimensioni (bug 426991).

Risoluzione del problema delle nuove finestre che non ricevevano correttamente il focus dall'applicazione (bug 446568).

L'elenco completo dei bug risolti lo trovate sul sito ufficiale.

Come sempre per chi già utilizza Firefox nelle versioni 3.0.x l’aggiornamento sarà automatico in queste ore; è comunque possibile avviare manualmente la ricerca degli aggiornamenti attraverso l’apposito comando (in Linux e Mac Os X si trova nel menu Guida, in Windows nel menu ?).

Mozilla inoltre ricorda a chi usa la versione Firefox 2.0.x, che non saranno più rilasciati aggiornamenti di sicurezza e stabilità, quindi di passare alle versioni successive 3.0.x.

Potete scaricare l'ultima versione di Firefox 3.0.9 sul sito Mozilla.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Grave falla per Firefox

Guido Landi, un ricercatore, ha scoperto una grave falla che affligge Firefox; confermata anche da Lucas Adamski, Director of Security Engineering di Mozilla e segnalata anche la codifica su Bugzilla con codice 485217.

Mozilla è già al lavoro per rimediare a questa gravissima situazione, in quanto la falla permette di installare software sui sistemi attaccati.

Il codice di exploit è stato reso pubblico portando il browser Firefox a rischio di attacco zero day, si prevede che il nuovo update sarà disponibile tra il 30/03 e lo 01/04.

Altre info sul sito SecurityFocus.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Facebook un problema con la privacy delle foto

Non c'è pace per gli utenti di Facebook, un nuovo problema affligge il famoso Network.

Questa volta il problema nasce da bug, segnalato e non ancora risolto, che permetterebbe di accedere ai contenuti degli album di foto di qualsiasi utente.

La falla è stata segnalata da Security Ninja, ma come dicevo non è ancora stata risolta. Anche se non è una falla grave, si tratta pur sempre di privacy che potrebbe essere violata, in quanto io posso anche aver pubblicato una foto, ma condiviso con pochissime persone.

Maggiori informazioni Security Ninja.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Adobe Reader a rischio senza aprire i file .pdf

A fine febbraio vi avevo segnalato un grave bug che coinvolgeva Adobe Reader nell'apertura dei file .pdf a causa di un bug nel lettore Adobe Reader, purtroppo il rischio è più elevato del previsto, in quanto non serve aprire i suddetti file per essere infettati, è sufficiente averlo installato .

La causa è da imputarsi modo in cui Adobe integra in Windows Explorer i meta-dati contenuti nei files pdf, dal momento che il bug del codice può essere inserito all'interno di un file di meta-dati.

In pratica se si ha installato Adobe Acrobat, ci si trova in pericolo di essere esposti a infezioni di malware, anche se non avete mai effettivamente aperto un file infetto.

Qui sotto un video esplicativo.

Adobe è a conoscenza del bug, e prevede di rilasciare la patch ufficiale mercoledì prossimo.

Nel frattempo è a disposizione una patch non ufficiale, per maggiori info visita il sito Computer Magazine, altra soluzione alternativa è disinstallare il programma ed utilizzare altri software.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Disponibile eMule 0.49c

Brevissimo il periodo di beta, eMule 0.49c è già disponibile per il download nella sua versione finale.

L'aggiornamento è fortemente consigliato perché con la nuova versione sono stati risolti alcuni bug, le novità apportate sono varie:

• 
  
  possibilità di condividere singoli file e directory tramite semplici operazioni di drag'n'drop;
• 
  
  possibilità di vedere in anteprima il contenuto di un’immagine ISO e dei file RAR autoestraenti;
• 
  
  integrazione di alcuni sistemi di sicurezza presenti in Windows Vista, come il Data Execution Prevention e l’Heap Corruption Detection;
• 
  
  nuova funzionalità di backup che consente il ripristino automatico dei file part.met in caso di corruzione;
• 
  
  possibilità di sapere, in qualsiasi momento, la data esatta in cui un file è stato aggiunto alla lista dei download.

È possibile scaricarlo dal sito ufficiale,dal sito italiano.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Aggiornamento Adobe per Flash Player 10.0.22.87

L'up-date correggere alcuni bug di sicurezza.

Adobe Flash Player è il famoso Plug-In che permette di visualizzare animazioni e filmati flash all’interno dei vostri browser.

Adobe ha rilasciato ieri, un aggiornamento per Flash Player 10.0.12.36 (vecchia versione)  alla nuova 10.0.22.87.

L'aggiornamento risolve cinque vulnerabilità specificate in questo bollettino.

Se non sapete qual'è la versione installata sul vostro computer, lo potete verificare visitando questo indirizzo, dopo aver identificato la versione potete aggiornarla alla nuova direttamente dal sito Adobe.

Restiamo, invece, ancora in attesa per la grave vulnerabilità di Reader e Acrobat segnalata qualche giorno fa. Dovrebbe essere risolta con l'aggiornamento previsto per il prossimo 11 marzo.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.

Firefox rilascia la versione 3.0.6

Nonostante il ritardo della terza beta di Firefox 3.1, oggi è stato rilasciato il quarto aggiornamento della versione 3.0.x di Firefox.

La nuova versione Firefox 3.0.6 risolve diversi problemi individuati nella precedente.

Vediamo nel dettaglio:

• Risolti diversi problemi di sicurezza.
• Corretti diversi problemi legati alla stabilità dell'applicazione.
• Nelle versioni precedenti di Firefox alcuni utenti riscontravano una visualizzazione non corretta di parte dello schermo quando l'applicazione rimaneva aperta per lunghi periodi di tempo.
• Migliorata la possibilità di interazione tra comandi eseguiti da script (inclusi quelli presenti in estensioni molto diffuse come Adblock Plus) e plugin (bug 438830).
• Rimosso l'user ID del client dalla segnalazione dei crash.
• Risolti alcuni problemi di visualizzazione con i caratteri asiatici.

Qui potete trovare l'elenco completo dei bug risolti.

Qui potete scricare la nuova versione.
Vi ricordo che per la versione 2.0.x non sono più rilasciati aggiornamenti di sicurezza e stabilità, quindi per sicurezza è meglio passare alla nuova versione.

Se volete restare aggiornati al mio blog, abbonatevi a questo feed o a questo.