SIAMO GEEK

Tag: microsoft

  • La falsa sicurezza dei default

    Una delle iniziative intraprese da Microsoft negli anni scorsi per “aumentare la sicurezza” è stata quella di cambiare le impostazioni predefinite di un sistema operativo server appena installato.

    Così Windows 2008 appena installato ha attive un sacco di impostazioni assolutamente inutili che non servono assolutamente a nulla, se non ad intralciare il lavoro del SysAdmin che sta installando il server.

    All’avvio viene chiesto di specificare una password di Administrator, ma è attiva la policy di complessità della password. Il risultato è che se si scrive Password1 il sistema la accetta, mentre qualcosa tipo lasicurezzanonèneidefault viene rifiutato.

  • La trappola bisestile

    Il sistema attuale del computo del tempo è frutto della stratificazione di usanze e adattamenti che affondano le loro radici oltre 2.000 anni or sono.

    Con l’avvento del calcolo automatico questo sistema ogni tanto gioca brutti scherzi, l’ultimo ha visto come vittima Windows Azure.

    In un dettagliato e interessante rapporto che merita di essere letto anche se non interessati ad Azure, Bill Laing spiega dove sono iniziati i guai.

    Uno degli agent del servizio crea dei certificati con un anno di validità, purtroppo la scadenza viene calcolata aggiungendo un’unità all’anno, nella presunzione che, se giorno e mese esistono quest’anno, esisteranno anche l’anno prossimo.

    Presunzione sempre valida, tranne che per un giorno ogni 4 anni.

    Chi ha in giro sistemi che calcolano le date di scadenza (o similari) usando l’algoritmo sopra descritto dovrebbe controllare se non sono state scritte o calcolate date inesistenti.

    Il prossimo appuntamento è per il secondo intercalare di fine giugno.

  • Windows 8

    Ho scaricato e installato in un VM di VMware Workstation la Consumer Preview a 64 bit di Windows 8.

    La fase iniziale di setup è praticamente uguale a Windows 7, ma alla fine iniziano le sorprese che fanno capire il taglio di questa nuova release.

    Quando viene richiesto il nome dell’utente del computer, l’opzione predefinita è quella di utilizzare un account Microsoft; si può, ovviamente, scegliere di utilizzare un account locale, ma alcune funzioni, non fondamentali specialmente in contesti aziendali, richiedono un account Microsoft per poter essere utilizzate. Si può comunque creare o collegare un account Microsoft anche dopo l’installazione.

    (altro…)

  • ASP.NET: la cosa si fa seria (aggiornamento)

    [youtube=http://www.youtube.com/watch?v=yghiC_U2RaM&w=480]

    Contrariamente a quanto riportato da Microsoft, sembra che gli attacchi che sfruttano la vulnerabilità di ASP.NET siano non solo fattibili, come mostra il video qui sopra, ma anche in corso.

    La situazione sembra seria e chi amministra un sito esposto a Internet basato su ASP.NET dovrebbe al più presto prendere le contromisure consigliate da Microsoft per mitigare il problema.

    La vulnerabilità in questione permette, di fatto, di passare attraverso la sicurezza del framework ASP.NET senza blocchi in poche decine di minuti. (via Schneier on Security)

    Aggiornamento 28/9/2010 06:15: Microsoft rilascerà oggi un aggiornamento d’emergenza sul Download Center; pare che le contromisure consigliate non siano molto efficaci, quindi l’aggiornamento è d’obbligo.

    Aggiornamento 28/9/2010 19:45: la patch è stata rilasciata.

  • DRM: piove sul bagnato

    Exploit Database ha pubblicato la segnalazione di un problema di msnetobj.dll che sarebbe vulnerabile a tre tipi di attacchi (buffer overflow, integer overflow e denial of service).

    Questo file, uno dei tanti che popola la directory system32, serve ad implementare il DRM per i contenuti ActiveX e dovrebbe servire a limitare l’utilizzo (salvataggio, stampa, visualizzazione) di alcuni file.

    L’attacco a questa DLL viene portato inducendo la vittima a visitare siti con contenuti creati ad arte per sfruttare queste vulnerabilità.

  • Vulnerabilità di ASP.NET – Aggiornamento

    Secondo Microsoft sembrerebbero non esserci ancora stati attacchi basati sulla vulnerabilità di ASP.NET segnalata qualche giorno fa; lo stesso articolo di Microsoft elenca in dettaglio i sistemi coinvolti e propone una modifica alla configurazione che potrebbe mitigare l’impatto del problema.

    Anche Scott Guthrie consiglia di modificare i medesimi parametri per ridurre gli effetti del problema e segnala uno script VBS che analizza il server locale e verifica se ci sono applicazioni con la pagina di errore personalizzata. (via SANS)

  • Patch Tuesday

    Come ogni secondo martedì del mese, oggi Microsoft rilascia le patch per i suoi software, vediamo cosa ci tocca questa volta. 

    (altro…)

  • Vulnerabilità delle applicazioni ASP.NET

    Thai Duong e Juliano Rizzo, due ricercatori nel campo della sicurezza, hanno messo a punto uno schema di attacco che sfrutta un baco del modo in cui le applicazioni realizzate con la piattaforma ASP.NET di Microsoft trattano i cookie di sessione criptati.

    Il problema, che riguarda milioni di applicazioni web che utilizzano quella piattaforma, potrebbe essere molto serio e potrebbe essere utilizzato per impersonare un utente di un sito. Il metodo di attacco verrà illustrato in dettaglio alla ekoparty Security Conference che si tiene questa settimana in Argentina.

    (altro…)

  • Microsoft EMET 2.0

    È disponibile la nuova versione dell’Enhanced Mitigation Experience Toolkit per i sistemi operativi Microsoft.

    Il tool permette di stabilire delle policy per ridurre i rischi di sicurezza specifiche per ogni singolo applicativo. (altro…)

  • Windows 95

    Dopo un paio d’anni di versioni sfuggite alla Microsoft, beta e release candidate varie, il 24 agosto 1995 veniva definitivamente rilasciata la prima versione commerciale di Windows 95.

    Era un ibrido tra MS-DOS e un nuovo sistema operativo con parti a 16 bit e parti a 32 bit, a differenza dal fratello maggiore, Windows NT, completamente a 32 bit. (altro…)

  • Internet Explorer

    Internet Explorer 1.0 su Windows 95

    • 16 agosto 1995: 1.0 (che si identificava come 4.40.308)
    • 22 novembre 1995: 2.0
    • 13 agosto 1996: 3.0
    • Settembre 1997: 4.0
    • 18 marzo 1999: 5.0
    • 27 agosto 2001: 6.0
    • 18 ottobre 2006: 7.0
    • 19 marzo 2009: 8.0

    Quindici anni di Internet Explorer, non senza sofferenze, specialmente nei primi anni. Una fama raggiunta soprattutto grazie a scelte completamente sbagliate di Netscape quando era lui ad avere il mercato in pugno. Un monito che nessun produttore di software dovrebbe ignorare. (via Slashdot)

  • Patch Tuesday

    Come ogni secondo martedì del mese, oggi Microsoft rilascia le patch per i suoi software e questo giro sembra bello nutrito. Ecco cosa prevede il menu di questo mese.

    (altro…)