Vai al contenuto
Esperti: presto, disinstallate QuickTime per Windows! Adobe: ma anche no

Esperti: presto, disinstallate QuickTime per Windows! Adobe: ma anche no

Il CERT (Computer Emergency Readiness Team) statunitense, una delle principali autorità di sicurezza informatica al mondo, è stato molto chiaro nel suo recente avviso: se usate QuickTime su Windows, vi conviene disinstallarlo, perché contiene almeno due falle critiche che permettono di infettare un computer semplicemente convincendo il suo utente a guardare un video o visitare un sito.

Il problema è che non c’è un aggiornamento di sicurezza da scaricare, perché Apple ha smesso di aggiornare QuickTime per Windows e consiglia di rimuoverlo. In pratica, continuare ad avere QuickTime per Windows installato è come lasciare la porta di casa spalancata e non poterla chiudere a chiave.

Di solito in questi casi si segue il consiglio degli esperti, ma stavolta c’è qualcuno che ha alzato la manina per obiettare: è Adobe, perché molti suoi prodotti assai diffusi, come per esempio After Effects, rischiano di trovarsi menomati o non funzionare se si rimuove QuickTime, dato che dipendono fortemente da questo software.

Adobe si sta dando da fare per eliminare questa dipendenza, ma in attesa di quel momento chi usa After Effects si trova senza protezione: l’unico rimedio è non navigare su Internet con computer dotati di QuickTime per Windows.

Fonti aggiuntive: The Register, Graham Cluley.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornamenti Flash: abbiamo fatto venti, facciamo ventuno

Aggiornamenti Flash: abbiamo fatto venti, facciamo ventuno

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Se questo articolo vi sembra familiare, è perché è la ventunesima volta che Adobe pubblica un aggiornamento di sicurezza di Flash dall’inizio dell’anno. Considerato che Flash è uno dei canali di attacco preferiti dagli aggressori informatici, non aggiornarsi equivale a dipingersi un bersaglio addosso e gridare “Colpitemi e fatemi tanto male”: un buon passatempo per masochisti e per dirigenti d’azienda ottusi (due categorie non necessariamente disgiunte).

Stavolta si tratta di un aggiornamento d’emergenza, che chiude una rosa di vulnerabilità in Flash Player e AIR, almeno una delle quali (la CVE-2015-8651) viene già utilizzata in questo momento dai criminali informatici, per cui il pericolo non è astratto: è molto reale.

Il bollettino di sicurezza di Adobe è l’APSB16-01.

L’aggiornamento porta Adobe Flash alla versione 20.0.0.267 per Windows e Mac e alla 11.2.202.559 per Linux.

Anche chi usa Google Chrome (sotto Windows, OS X, Linux e ChromeOS) viene aggiornato alla versione 20.0.0.267. Chrome si aggiorna automaticamente. Idem per chi usa Microsoft Edge e Internet Explorer per Windows 10 e per Windows 8.x.

Molti computer sono configurati per aggiornarsi automaticamente, ma se necessario il player aggiornato è scaricabile manualmente qui.

Come consueto, potete verificare quale versione di Flash avete visitando questa pagina di Adobe con ciascuno dei browser che avete installato. Potete anche impostare Flash in modo che vi chieda il consenso per attivarsi sito per sito. Se invece preferite rimuovere Flash del tutto, le istruzioni in italiano sono qui per Windows e qui per Mac.

Fonti aggiuntive: The Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornamento di Adobe Creative Cloud cancella(va) i dati degli utenti Mac

Aggiornamento di Adobe Creative Cloud cancella(va) i dati degli utenti Mac

Di solito raccomando di installare sempre prontamente gli aggiornamenti del software, ma stavolta non lo posso fare. C’è stato infatti un brutto inciampo per Adobe: l’ultimo degli aggiornamenti periodici della suite di elaborazione grafica Adobe Creative Cloud cancellava per sbaglio i dati degli utenti Mac. Specificamente cancellava quelli contenuti nella prima cartella in ordine alfabetico che trovava nella directory di root del Mac: un posto dove spesso vengono scritti dati importanti per la gestione del sistema oppure copie di sicurezza dei dati dell’utente, per cui perdere una cartella senza accorgersene (e in maniera così inattesa) può essere decisamente spiacevole.

Come faccia un aggiornamento a contenere un’istruzione che cancella la prima cartella che trova senza nemmeno controllarne il nome è un mistero che è meglio non sondare, ma il problema ora è stato risolto con un nuovo aggiornamento.

Se usate questa suite e avete installato l’aggiornamento difettoso, che è la versione 3.5.0.206, controllate di non aver perso nulla; se non l’avete ancora installato, siete fortunati e potete procedere con l’installazione dell’aggiornamento corretto che è stato rilasciato da Adobe.

Fonti: The Register, BBC, Backblaze, Adobe.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Aggiornamenti di sicurezza per Microsoft e Adobe Acrobat

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/01/13 12:00.

È disponibile il bollettino di sicurezza di gennaio di Microsoft, che segnala falle critiche in Silverlight, Windows (varie versioni), Office, Internet Explorer, Edge e altri prodotti software. Almeno due di queste falle sono sfruttabili dagli aggressori semplicemente convincendo gli utenti a visitare una specifica pagina Web. Gli aggiornamenti correttivi sono disponibili secondo la consueta procedura di Windows Update.

Inoltre Adobe ha pubblicato il proprio bollettino di sicurezza di gennaio, che allo stesso modo segnala falle critiche in Acrobat che vanno corrette subito installando gli appositi aggiornamenti come descritto nel bollettino.

Considerato che moltissimi attacchi basati su Cryptolocker e simili sfruttano dei PDF infetti che colpiscono gli utenti sfruttando falle di Acrobat, non è il caso di aspettare ad aggiornarsi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornamento Flash, e con questo siamo a venti dall’inizio dell’anno

Aggiornamento Flash, e con questo siamo a venti dall’inizio dell’anno

Solita solfa: è disponibile un nuovo aggiornamento del player di Adobe Flash, che porta Flash alla versione 20.0.0.228 (per Internet Explorer e Chrome sotto Windows, per Chrome e Opera sotto OS X e per Chrome sotto Linux), 20.0.0.235 (per Firefox sotto Windows e OS X e per Safari sotto OS X) o 11.2.202.554 (per Firefox sotto Linux).

Molti computer sono configurati per aggiornarsi automaticamente, ma se necessario il player aggiornato è scaricabile manualmente qui. Google Chrome aggiorna separatamente e automaticamente il proprio player Flash, portandolo alla versione 20.0.0.228 per Windows, Mac e Linux.

Questo nuovo aggiornamento è il ventesimo dell’anno (quello precedente risale al 10 novembre scorso) e risolve le settantotto falle indicate nel bollettino 15-32 di Adobe.

Come consueto, potete verificare quale versione di Flash avete visitando questa pagina di Adobe con ciascuno dei browser che avete installato. Potete anche impostare Flash in modo che vi chieda il consenso per attivarsi sito per sito. Se invece preferite rimuovere Flash del tutto, le istruzioni in italiano sono qui per Windows e qui per Mac.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornamento Flash, il diciannovesimo dell’anno

Aggiornamento Flash, il diciannovesimo dell’anno

Ormai è un appuntamento rituale, per cui vado subito al sodo: è disponibile un nuovo aggiornamento del player di Adobe Flash, che porta Flash alla versione 19.0.0.245 (per Windows e Mac) e 11.2.202.548 (per Linux). Molti computer sono configurati per aggiornarsi automaticamente, ma se necessario il player aggiornato è scaricabile manualmente qui. Google Chrome aggiorna separatamente e automaticamente il proprio player Flash, portandolo alla versione 19.0.0.245 per Windows, Mac e Linux.

Questo nuovo aggiornamento è il diciannovesimo dell’anno (quello precedente risale al 17 ottobre scorso) e risolve le falle indicate nel bollettino di Adobe pubblicato oggi, che le classifica come “critiche” e dice che “potrebbero potenzialmente consentire a un aggressore di prendere il controllo del sistema colpito”.

Come consueto, potete verificare quale versione di Flash avete visitando questa pagina di Adobe con ciascuno dei browser che avete installato. Potete anche impostare Flash in modo che vi chieda il consenso per attivarsi sito per sito. Se invece preferite rimuovere Flash del tutto, le istruzioni in italiano sono qui per Windows e qui per Mac.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Flash, ennesimo aggiornamento di sicurezza, ma è già uscito un attacco che lo scavalca

Flash, ennesimo aggiornamento di sicurezza, ma è già uscito un attacco che lo scavalca

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “domenico.pul*” e “sylvy*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Ieri è stato rilasciato un aggiornamento di Adobe Flash, il diciassettesimo dall’inizio dell’anno secondo i conti di Flashtester.org. Risolve tredici vulnerabilità, alcune classificate come “critiche”. Se dovete ancora usare Flash, aggiornatelo: la versione più recente è la 19.0.0.207 per Windows, Linux e Mac OS X. Chi usa Google Chrome viene aggiornato automaticamente.

Come consueto, potete verificare quale versione di Flash avete visitando questa pagina di Adobe con ciascuno dei browser che avete installato. La versione aggiornata, se non si installa automaticamente, è scaricabile qui. Potete anche disabilitare Flash in modo che vi chieda il consenso sito per sito. Se invece preferite rimuovere Flash del tutto, le istruzioni sono qui in italiano per Windows e qui per Mac.

Intanto i creatori di malware non dormono: Trend Micro segnala che è già uscito un attacco che infetta i computer delle vittime usando una falla presente anche nell’ultimo aggiornamento di Flash. L’attacco arriva sotto forma di mail con allegato e sembra mirato principalmente a enti governativi, ma questo non significa che gli utenti comuni possono abbassare le proprie difese. Aspettiamoci quindi un ulteriore aggiornamento all’aggiornamento.

Fonti aggiuntive: Ars Technica, The Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Da oggi Chrome e Amazon bloccano Flash negli spot. È ora di dirgli addio

Da oggi Chrome e Amazon bloccano Flash negli spot. È ora di dirgli addio

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “davide.rich*” e “motog*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Un altro chiodo nella bara di Adobe Flash: da oggi, come preannunciato a giugno, Google Chrome comincerà a bloccare automaticamente i contenuti Web non essenziali (tipicamente pubblicità) che usano Flash: per sbloccarli sarà necessario cliccarvi sopra. Questo ridurrà fortemente i rischi comportati dall’uso di Flash, rivelatosi un vero colabrodo di sicurezza, e anche i consumi energetici e di potenza di calcolo legati a questa tecnologia.

I contenuti Flash ritenuti importanti (per esempio i player video nei siti dedicati ai video) non verranno bloccati, ma ci sarà un’ecatombe di spot pubblicitari basati su Flash. Per noi utenti è un sollievo oltre che un miglioramento della sicurezza, visto che Flash viene usato spesso per veicolare infezioni, ma per i pubblicitari e per i siti che si mantengono tramite gli introiti della pubblicità potrebbe esserci qualche problema.

Convertirsi (da Flash a HTML5) o perire, insomma; ma dietro tanto altruismo e amore del risparmio energetico c’è anche un vantaggio non banale per Google. Le pubblicità Flash diffuse tramite i canali pubblicitari gestiti da Google, infatti, verranno convertite automaticamente in HTML e quindi verranno visualizzate senza problemi, mentre gli spot veicolati da altri operatori pubblicitari verranno sostituiti da una simpatica casellina grigia. Chi controlla il browser controlla la Rete, come ha ben insegnato la vertenza antitrust contro Microsoft ai tempi in cui Internet Explorer dominava il mercato dei browser.

Tuttavia Google non è sola nel boicottare Flash: anche Amazon da oggi non accetta più pubblicità Flash sulla propria rete. Per non parlare dei dispositivi iOS (iPhone, iPad e simili), che non hanno mai supportato Flash. La tecnologia Adobe è ormai accerchiata e destinata all’oblio: webmaster che insistete a fare i siti che richiedono Flash perché è facile e figo, prendete nota.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Anche se non v’importa di HackingTeam, i suoi trucchi sono già in mano ai criminali: meglio impostare bene Flash

Anche se non v’importa di HackingTeam, i suoi trucchi sono già in mano ai criminali: meglio impostare bene Flash

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “fafiore*” e “m.sabba*”. Se vi piace, potete incoraggiarmi a scrivere ancora.

È importante aggiornare Flash appena possibile, se lo usate, e magari disattivare la sua esecuzione automatica: oggi è una giornata ad alto rischio.

I file recentemente trafugati a HackingTeam contengono infatti un exploit, ossia un attacco, che sfrutta una vulnerabilità finora sconosciuta di Flash, catalogata come CVE-2015-5119 (informativa Adobe; informativa CERT). I criminali informatici sono stati come al solito velocissimi: hanno già integrato l’exploit nei loro attacchi, che hanno effetto su chi ha Flash fino alla versione 18.0.0.194 inclusa. L’attacco richiede semplicemente una visita a un sito Web.

Diffidate degli inviti automatici ad aggiornarvi, potrebbero essere trappole: usate invece le pagine apposite di Adobe per controllare che versione avete e scaricare la più recente, che in questo momento è la 18.0.0.203.

Per gli utenti Mac: stranamente, sul mio Yosemite il plug-in Flash nelle Preferenze di Sistema non rileva automaticamente la disponibilità dell’aggiornamento 18.0.0.203 e bisogna forzare l’aggiornamento andando sul sito di Adobe a scaricarlo.

Già che ci siete, evitate che un sito ostile vi faccia partire Flash a sorpresa: le istruzioni per Firefox, Chrome, Safari e Internet Explorer sono qui.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornamenti di sicurezza importanti per Windows, Office, Flash Player, Acrobat, Reader

Aggiornamenti di sicurezza importanti per Windows, Office, Flash Player, Acrobat, Reader

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “giovanni.por*”. Se vi piace, potete incoraggiarmi a scrivere ancora.

Mettete in preventivo un po’ di tempo oggi per aggiornare i vostri computer: Microsoft ha rilasciato degli aggiornamenti importanti che tappano una cinquantina di falle di sicurezza in Windows e in altri suoi prodotti (.NET, Office, Silverlight) e Adobe ha fatto altrettanto per chiudere una ventina di vulnerabilità in Flash Player, Air, Reader e Acrobat per Windows, OS X e Linux.

Questi aggiornamenti non sono da trascurare: tre sono stati classificati da Microsoft come “critici”, perché consentono di attaccare il computer senza che l’utente debba fare nulla di speciale. Una delle falle corrette, la MS15-044, permette l’attacco informatico semplicemente convincendo l’utente a visualizzare una pagina Web o un documento appositamente confezionato.

Per quanto riguarda il software Adobe, controllate se avete installato Flash usando questo link in italiano: se l’avete installato, verificate di avere la versione indicata nella tabella mostrata dal link. Se necessario, aggiornatevi facendo attenzione a non installare software indesiderato come per esempio Security Scan di McAfee.

Google Chrome, che include una propria versione di Flash, si aggiorna automaticamente al riavvio; in alternativa potete forzare l’aggiornamento facendo clic sulle tre barrette a destra della casella dell’indirizzo e scegliendo la voce Informazioni su Google Chrome.

Se usate Adobe Reader o Acrobat, procuratevi i rispettivi aggiornamenti. Buon divertimento.

Fonti aggiuntive: Microsoft Technet, Krebs On Security.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.