SIAMO GEEK

Tag: browser

  • Zero-day per Internet Explorer (con fix)

    Microsoft ha rivelato l’esistenza di uno zero-day per Internet Explorer.

    Secondo i ricercatori di Qualys, per il momento gli attacchi sarebbero geograficamente limitati all’area del Giappone, ma potrebbero diffondersi una volta che è stato rivelato il problema.

    La vulnerabilità scoperta permette di eseguire dei programmi arbitrari sul computer della vittima (remote code execution) inducendola a visitare un sito opportunamente creato per sfruttare il baco.

    Tutte le versioni attualmente supportate di Internet Explorer sono interessate da questo problema.

    La vulnerabilità è provocata da un componente di Microsoft Office che non è stato compilato con la funzionalità della randomizzazione dello spazio degli indirizzi (ALSR).

    Microsoft ha già rilasciato un Fix it per correggere il problema che può essere applicato per le versioni di Exlorer dalla 6 alla 11 incluse. (via Threat Post)

    Aggiornamento 2/10/2013 – Microsoft ha assegnato il codice 2887505 a questo problema.

    Aggiornamento 4/10/2013 – Microsoft corregge questo problema con il patch tuesday di ottobre.

  • Attacco ad Opera

    OperaLa rete dei computer utilizzati per lo sviluppo di Opera è stata attaccata e compromessa.

    Il 19 giugno scorso i tecnici di Opera hanno scoperto l’attacco, l’hanno circoscritto e dicono di averlo neutralizzato.

    Di sicuro è stato rubato un vecchio certificato SSL che è stato immediatamente utilizzato per firmare del malware.

    Sophos non condivide l’ottimismo del comunicato della software house norvegese, che lascia molti interrogativi irrisolti.

    Chi utilizza Opera dovrebbe aggiornare sia il browser sia l’antivirus all’ultimissima versione.

  • Finto aggiornamento di Chrome

    È tornato ad imperversare un malware travestito da aggiornamento di Google Chrome.

    Alcune pagine su Internet sono realizzate per trarre in inganno gli utenti per convincerli a scaricare un presunto aggiornamento del browser.

    Chrome stesso riesce ad identificare come ostile l’eseguibile che l’incauto utente potrebbe scaricare dal sito di phishing, posto che il sito stesso non venga bloccato prima dai filtri del browser.

    Secondo alcuni siti di analisi, il malware in questione ruberebbe le credenziali dell’utente.

    Chrome si aggiorna da sé, non è necessario scaricare programmi di aggiornamento. Per forzare un aggiornamento o per verificare la versione installata clickare sul menu del programma identificato dal simbolo  (dove prima c’era la chiave inglese) e selezionare la voce delle informazioni. In alcune distribuzioni di Linux Chrome viene aggiornato attraverso il sistema di installazione dei programmi.

  • Internet Explorer vi osserva

    spider.io ha scoperto una feature di Internet Explorer dalla versione 6 alla versione 10 che permette di tracciare i movimenti del mouse.

    Con un semplice programma JavaScript è possibile sapere la posizione del mouse sullo schermo, anche se questo si trova al di fuori della finestra di Explorer o se il programma è ridotto a icona.

    La feature potrebbe sembrare utile o innocua, ma bisogna considerare che alcuni sistemi di sicurezza, come Kaspersky, o la funzione integrata della tastiera virtuale di Windows vengono suggeriti come metodi per evitare che i keylogger riescano a carpire le password o altri dati sensibili.

    Questi metodi potrebbero essere vanificati da alcune righe JavaScript che si possono vedere in azione qui (ovviamente funziona solo con Internet Explorer).

    Contattata da spider.io, Microsoft ha risposto che non ritiene opportuno sistemare il problema. (via Naked Security)

  • HTML5: raccolta di vulnerabilità

    Nato dopo una serie di frizioni e malintesi, HTML 5 sta diventando il nuovo standard delle pagine web.

    Come successo fin dagli inizi della diffusione del web, il nuovo livello del linguaggio HTML diventa uno standard nel momento in cui i browser più diffusi lo supportano.

    Allo stesso modo, ciascun motore di rendering alla base dei vari browser supporta un set di markup del linguaggio e ogni tanto lo fa a proprio modo oppure ha delle estensioni che funzionano solamente con quel motore. Qui e qui ci sono delle tabelle comparative relative a HTML5.

    Ovviamente nuovi markup significano nuove vulnerabilità, rese più insidiose dall’integrazione di JavaScript, il quale si porta dietro il rischio di attacchi XSS.

    HTML5 Security Cheatsheet è un sito che raccoglie le vulnerabilità dell’implementazione di HTML5.

    (altro…)

  • Pericolosa vulnerabilità di Internet Explorer

    Lo scorso lunedì è stata diramata la notizia di uno zero day che colpisce tutte le versioni di Internet Explorer fino alla 9 inclusa.

    La vulnerabilità del browser permette di eseguire un programma arbitrario sul computer della vittima attraverso un heap spray se questa visita un sito con una pagina creata allo scopo.

    Anche il famoso tool Metasploit dispone già di un modulo per sfruttare questo baco.

    Microsoft ha rilasciato un FixIt per sistemare il problema immediatamente. Domani 21 settembre verrà rilasciata una patch fuori banda attraverso il canale degli aggiornamenti automatici.

  • Vulnerabilità in win32k.sys di Win7/64

    <iframe height='18082563'></iframe>

    w3bd3vil ha scoperto che questo frammento HTML visualizzato con Safari in un Windows 7 a 64 bit riesce a generare un errore di win32k.sys e a mandare il sistema in crash.

    Il problema non è, ovviamente, di Safari perché un’applicazione utente non deve riuscire a mandare in crash un driver del kernel.

    Il problema sembra essere un baco di win32k.sys causato da una scrittura di dati in un’area di memoria non prevista (memory corruption). Questo tipo di vulnerabilità può essere utilizzata (come è già stato fatto in passato) per bypassare il sistema di sicurezza di Windows e installare programmi senza il consenso dell’utente.

    È legittimo pensare che, ora che questo baco è stato scoperto, ci saranno altri tentativi di sfruttarlo, finché Microsoft non lo correggerà. (via ISC)

  • Quando esci, ricordati di salvare

    Sicuramente molti tra i lettori avranno aderito alla beta della versione 4 di Mozilla FireFox. Da pochi giorni l’applicativo è nella fase Release Candidate, quindi si presume che ci sarà un picco nella migrazione a questa versione del browser a breve.
    Chi già usa questo prodotto, avrà notato che, a partire dal rilascio 10 della beta, il browser si chiude senza più chiedere se salvare le linguette aperte, dandoci quindi una spiacevole sorprese alla riapertura, quando scopriamo che tutti i siti che stavamo consultando sono improvvisamente andati a farsi benedire.

    Una soluzione a questo inconveniente è usare il comando Restore Previous Session che si trova nel menu History e permette appunto di riaprire i tab dall’ultima sessione di lavoro, altrimenti si può ripristinare il comportamento predefinito della versioni precedenti andando a modificare alcuni parametri di configurazione.
    Per accedere alle impostazioni, ricordiamo che bisogna battere about:config nella barra degli indirizzi ed eventualmente confermare il messaggio informativo che appare.

    (altro…)

  • DNS prefetching: una pessima idea

    browser moderni hanno una funzione apparentemente utile, ma che provoca un notevole e inutile incremento di traffico DNS.

    Una piccola spiegazione a grandi linee su cime funziona la risoluzione dei nomi, una delle tecnologie che stanno alla base del funzionamento di Internet per l’utente finale.

    Ogni macchina (host) collegata a Internet ha un indirizzo IP che è necessariamente univoco (tralasciamo i NAT delle reti private che non ci interessano in questo contesto). L’indirizzo IP è, per ora, formato da una quaterna di numeri decimali da 0 a 255 separati da punti, tipo 1.2.3.4

    Per rendere più facile la memorizzazione dei siti, esiste un sistema che assegna ad ogni indirizzo (ad esempio 209.62.58.154) uno più nomi a dominio (ad esempio siamogeek.com). Questo accoppiamento è gestito dal DNS.

    (altro…)

  • Catalessi sugli allori

    StatCounter è uno dei tanti siti che offre un servizio di analisi di traffico web. Il sito ha pubblicato una statistica anno su anno secondo la quale Internet Explorer sarebbe sceso poco sotto la quota psicologica del 50% di share.

    Non ho trovato (se c’è) l’errore medio della statistica per capire quale sia l’errore di quel 49,87% dello share di Explorer in settembre, quindi il dato va preso per quello che è: una statistica.

    Per la seconda volta vediamo un browser con quote bulgare di mercato perderle per cause più interne che esterne.

    Netscape Navigator ha di fatto guidato la prima (e molto confusa) corsa al web della metà degli anni ’90; dobbiamo proprio a Netscape molte innovazioni dell’HTML, brutte o belle che siano. In quel periodo Microsoft, dopo un primo periodo in cui ha ignorato Internet, giocava molto all’inseguimento, mentre Netscape dominava il mercato. Tutto ciò fino alla versione 3.0, in cui non è stato data importanza al miglioramento del programma, ma ci si è concentrati sull’aggiunta di feature, alcune interessanti (un client di mail), altre un po’ inutili per l’utente quadratico medio (l’editor HTML visuale). Il caravanserraglio che è risultato da questo ingrasso non ha fatto altro che facilitare l’ascesa di Explorer, che, con tutti i suoi innumerevoli difetti, alla fine era più utilizzabile di Netscape.

    (altro…)

  • Scoperto un problema di sicurezza di Firefox

    FirefoxTreatpost segnala un problema di sicurezza che interessa tutte le versioni di Firefox scoperto da Armorize.

    Il browser non controlla gli indirizzi offuscati a cui si accede attraverso IFRAME, permettendo ad un attaccante di confondere o nascondere l’indirizzo del sito che si sta effettivamente visitando.

    (altro…)

  • Internet Explorer

    Internet Explorer 1.0 su Windows 95

    • 16 agosto 1995: 1.0 (che si identificava come 4.40.308)
    • 22 novembre 1995: 2.0
    • 13 agosto 1996: 3.0
    • Settembre 1997: 4.0
    • 18 marzo 1999: 5.0
    • 27 agosto 2001: 6.0
    • 18 ottobre 2006: 7.0
    • 19 marzo 2009: 8.0

    Quindici anni di Internet Explorer, non senza sofferenze, specialmente nei primi anni. Una fama raggiunta soprattutto grazie a scelte completamente sbagliate di Netscape quando era lui ad avere il mercato in pugno. Un monito che nessun produttore di software dovrebbe ignorare. (via Slashdot)