-
Vulnerabilità dell’autenticazione NTLM
Mark Gamache ha pubblicato un dettagliato articolo in cui spiega come il furto di credenziali utilizzate per l’autenticazione NTLM sia più semplice di quanto si riteneva. Fin’ora si credeva che l’unico modo per rubare la password di un utente tramite NTLM fosse un attacco MitM o il possesso di credenziali amministrative sul sistema vittima; entrambe le cose…
-
Vulnerabilità per Internet Explorer 6, 7 e 8
Microsoft ha diramato il Security Advisory 2794220 che documenta una vulnerabilità delle versioni di Internet Explorer fino alla 8 inclusa. La vulnerabilità, già sfruttata da alcuni attacchi, permette ad un malintenzionato di eseguire programmi arbitrari sul computer della vittima (remote code execution). Chi ha Windows Vista o Windows 7 dovrebbe installare Internet Explorer 9. Purtroppo per…
-
Internet Explorer vi osserva
spider.io ha scoperto una feature di Internet Explorer dalla versione 6 alla versione 10 che permette di tracciare i movimenti del mouse. Con un semplice programma JavaScript è possibile sapere la posizione del mouse sullo schermo, anche se questo si trova al di fuori della finestra di Explorer o se il programma è ridotto a icona.…
-
Pericolosa vulnerabilità di Internet Explorer
Lo scorso lunedì è stata diramata la notizia di uno zero day che colpisce tutte le versioni di Internet Explorer fino alla 9 inclusa. La vulnerabilità del browser permette di eseguire un programma arbitrario sul computer della vittima attraverso un heap spray se questa visita un sito con una pagina creata allo scopo. Anche il…
-
Microsoft alza il limite minimo delle chiavi RSA
Il patch tuesday di ottobre conterrà l’aggiornamento di cui all’articolo KB2661254. L’avviso è stato diramato con così largo anticipo per l’impatto che potrebbe avere in molte organizzazioni: una volta installata KB2661254 non verranno più considerate valide le chiavi RSA con lunghezza minore di 1024 bit.
-
MS PowerPoint compie 25 anni
– He monologued me. With PowerPoint.– He what? And you’re still sane? Obviously I underestimated you.( Charles Stross, Jennifer Morgue) Il 31 luglio del 1987 Microsoft perfezionava l’acquisto di Forethought, la società che aveva ideato e sviluppato PowerPoint. Robert Gaskins, Dennis Austin e Thomas Rudkin avevano messo a punto la versione 1.0 di PowerPoint per la…
-
La falsa sicurezza dei default
Una delle iniziative intraprese da Microsoft negli anni scorsi per “aumentare la sicurezza” è stata quella di cambiare le impostazioni predefinite di un sistema operativo server appena installato. Così Windows 2008 appena installato ha attive un sacco di impostazioni assolutamente inutili che non servono assolutamente a nulla, se non ad intralciare il lavoro del SysAdmin che…
-
La trappola bisestile
Il sistema attuale del computo del tempo è frutto della stratificazione di usanze e adattamenti che affondano le loro radici oltre 2.000 anni or sono. Con l’avvento del calcolo automatico questo sistema ogni tanto gioca brutti scherzi, l’ultimo ha visto come vittima Windows Azure. In un dettagliato e interessante rapporto che merita di essere letto anche se non interessati…
-
Windows 8
Ho scaricato e installato in un VM di VMware Workstation la Consumer Preview a 64 bit di Windows 8. La fase iniziale di setup è praticamente uguale a Windows 7, ma alla fine iniziano le sorprese che fanno capire il taglio di questa nuova release. Quando viene richiesto il nome dell’utente del computer, l’opzione predefinita…
-
ASP.NET: la cosa si fa seria (aggiornamento)
[youtube=http://www.youtube.com/watch?v=yghiC_U2RaM&w=480] Contrariamente a quanto riportato da Microsoft, sembra che gli attacchi che sfruttano la vulnerabilità di ASP.NET siano non solo fattibili, come mostra il video qui sopra, ma anche in corso. La situazione sembra seria e chi amministra un sito esposto a Internet basato su ASP.NET dovrebbe al più presto prendere le contromisure consigliate da…