Vai al contenuto
Aggiornamenti massicci per Apple, ma con qualche problema su iOS

Aggiornamenti massicci per Apple, ma con qualche problema su iOS

Ultimo aggiornamento: 2016/03/25 16:55.

Apple ha rilasciato degli aggiornamenti molto importanti per Mac, iPhone e iPad che risolvono una falla di sicurezza che consentiva di decifrare i messaggi di iMessage e le immagini e i video custoditi in iCloud; una falla analoga era presente anche in OS X, per cui anche i computer Apple vanno aggiornati.

Gli aggiornamenti portano iOS alla versione 9.3 e OS X alla versione 10.11.4; quelli per iOS aggiungono anche funzioni riposavista, variando la regolazione dei colori dello schermo verso tinte più calde la sera allo scopo di facilitare il sonno, introducono una modalità multitente per gli iPad (molto utile per le scuole) e proteggono le Note con una password o un’impronta digitale.

Ci sono anche novità per le app di gestione della salute, e anche gli Apple TV e gli Apple Watch hanno degli aggiornamenti, rispettivamente con tvOS 9.2 e WatchOS 2.2.

Purtroppo, però, molti utenti segnalano problemi nell’aggiornamento di iPhone 4S, 5, 5C e 5S e di iPad 2, iPad Retina di terza e quarta generazione e iPad Air, che si paralizzano a metà dell’opera e non si sbloccano se l’utente non ricorda correttamente la password del proprio Apple ID. Apple ha quindi ritirato l’aggiornamento per questi dispositivi e ha pubblicato delle istruzioni in italiano per aiutare chi si trova con il tablet o smartphone inservibile.

Prima di avviare gli aggiornamenti, insomma, segnatevi bene la password e fate, come sempre, una copia di scorta dei vostri dati.

Fonti: ZDNet, Ars Technica, The Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Ennesima falla in Flash, attacchi in corso: che fare?

Ennesima falla in Flash, attacchi in corso: che fare?

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/03/11 17:20. Link breve: http://tinyurl.com/blocca-flash.

Ieri (2 giugno) è stato pubblicato un altro aggiornamento di Adobe Flash che chiude ben diciotto falle di sicurezza, alcune delle quali permettono ai criminali informatici di prendere il controllo dei computer Windows, OS X e Linux semplicemente convincendo i loro proprietari a visitare un sito appositamente confezionato.

Secondo Adobe, almeno una delle falle chiuse con quest’ultimo aggiornamento viene già sfruttata attivamente: non si tratta quindi di un rischio teorico ma di una minaccia concreta.

Nei giorni scorsi sono stati segnalati attacchi che sfruttano le falle di Flash attraverso le pubblicità presenti in siti popolari come Dailymotion e altri, per cui non si può neanche proporre di ridurre il rischio evitando di visitare siti discutibili o poco conosciuti. Occorre aggiornarsi: per sapere se state usando la versione più aggiornata di Flash, visitate la pagina apposita di Adobe con ciascuno dei browser che usate.

C’è, tuttavia, chi suggerisce di disinstallare completamente Flash dai computer, soprattutto ora che molti dei siti più popolari di Internet funzionano anche senza: è il caso, per esempio, di Youtube, che ora mostra i video senza dover ricorrere al software di Adobe. Molti dispositivi mobili, come gli iPod touch, gli iPhone e gli iPad di Apple, non lo supportano affatto e vivono bene lo stesso.

Un’altra possibilità per ridurre il rischio anche per il futuro è impostare i browser in modo che non lancino Flash automaticamente ma lo facciano soltanto se l’utente lo consente esplicitamente. Per non essere assillati da continue richieste di permesso di lanciare Flash, si possono anche definire siti ritenuti sicuri, nei quali Flash verrà eseguito automaticamente:

– Firefox 39: Strumenti – Componenti aggiuntivi – Plugin; impostate Shockwave Flash a Chiedi prima di attivare. Per abilitare un sito all’avvio automatico di Flash, si visita il sito in questione e si clicca su Attiva e poi su Consenti sempre. Per revocare un’abilitazione, si va in Strumenti – Informazioni sulla pagina – Permessi  e si sceglie Utilizza predefiniti (oppure Blocca se lo si vuole bloccare permanentemente).

– Chrome 49.0.x (2016/03): Impostazioni (chrome://settings o l’icona con le tre righe orizzontali in alto a destra) – Mostra impostazioni avanzate (in basso) – Privacy – Impostazioni contenuti – Plug-in – Fammi scegliere quando eseguire i contenuti dei plug-in. La gestione dei siti nei quali si vuole autorizzare l’esecuzione automatica di Flash è accessibile cliccando su Gestisci eccezioni. Chrome chiederà di digitare Ctrl-clic e di scegliere Esegui questo plug-in sui siti non preautorizzati.
– Safari 9.0.3 (2016/03): Preferenze – Sicurezza – Plugin Internet: cliccare su Impostazioni siti web, selezionare Adobe Flash Player e impostare tutti i siti eventualmente elencati a Chiedi; ripetere per il menu a discesa Quando visito altri siti web.
– Internet Explorer 11: Impostazioni (icona dell’ingranaggio in alto a destra) – Gestione componenti aggiuntivi – Mostra: tutti i componenti aggiuntivi – Shockwave – Disabilita.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornamento di Adobe Creative Cloud cancella(va) i dati degli utenti Mac

Aggiornamento di Adobe Creative Cloud cancella(va) i dati degli utenti Mac

Di solito raccomando di installare sempre prontamente gli aggiornamenti del software, ma stavolta non lo posso fare. C’è stato infatti un brutto inciampo per Adobe: l’ultimo degli aggiornamenti periodici della suite di elaborazione grafica Adobe Creative Cloud cancellava per sbaglio i dati degli utenti Mac. Specificamente cancellava quelli contenuti nella prima cartella in ordine alfabetico che trovava nella directory di root del Mac: un posto dove spesso vengono scritti dati importanti per la gestione del sistema oppure copie di sicurezza dei dati dell’utente, per cui perdere una cartella senza accorgersene (e in maniera così inattesa) può essere decisamente spiacevole.

Come faccia un aggiornamento a contenere un’istruzione che cancella la prima cartella che trova senza nemmeno controllarne il nome è un mistero che è meglio non sondare, ma il problema ora è stato risolto con un nuovo aggiornamento.

Se usate questa suite e avete installato l’aggiornamento difettoso, che è la versione 3.5.0.206, controllate di non aver perso nulla; se non l’avete ancora installato, siete fortunati e potete procedere con l’installazione dell’aggiornamento corretto che è stato rilasciato da Adobe.

Fonti: The Register, BBC, Backblaze, Adobe.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Samsung accusata di troppa pigrizia nell’aggiornare Android; 82% degli utenti ha versioni obsolete

Samsung accusata di troppa pigrizia nell’aggiornare Android; 82% degli utenti ha versioni obsolete

Avete un telefonino Samsung? Allora guardate che versione di software Android usa (è indicato nelle Impostazioni, sotto Info sul telefono): è importante, perché le versioni vecchie sono tutte vulnerabili ad attacchi informatici per rubare soldi o dati personali semplicemente visitando un sito Web appositamente confezionato.

Il problema è che secondo un sondaggio dell’associazione olandese dei consumatori ben l’82% dei telefonini Samsung esaminati e messi in vendita negli ultimi due anni non ha installato gli aggiornamenti alla versione più recente di Android (attualmente la 6.0.1). In altre parole, milioni di utenti sono facilmente attaccabili sfruttando falle di sicurezza ben note.

Ma il vero problema è che questa percentuale altissima di utenti non solo non è aggiornata, ma non ha alcun modo di aggiornarsi, se non comprando un telefonino nuovo, perché Samsung spesso non fornisce agli utenti gli aggiornamenti di Android preparati da Google (che è responsabile di questo software), specialmente per i telefonini di fascia bassa o non recenti. Non lo fanno neanche molte altre case produttrici di telefonini, ma Samsung è quella di gran lunga dominante ed è per questo che l’associazione olandese l’ha portata in tribunale con l’accusa di pratiche commerciali sleali.

Samsung inoltre è rimproverata di non dire agli utenti per quanto tempo fornirà aggiornamenti software ai vari modelli e di non informare chiaramente gli utenti quando ci sono problemi critici di sicurezza (come per esempio il recente Stagefright). Il risultato è che gli utenti rimangono vulnerabili e se comprano un telefonino nuovo non sanno se e per quanto tempo verrà tenuto aggiornato.

L’unico rimedio molto parziale che ha il consumatore che sceglie Android è acquistare periodicamente un telefonino nuovo e di fascia alta, con i costi che ne conseguono, e leggere attentamente, prima dell’acquisto, le indicazioni sulla confezione, che riportano il numero di versione di Android preinstallato. Se non è troppo lontano da quello dell’Android più recente, è probabile che il fabbricante offrirà gli aggiornamenti di sicurezza per un tempo ragionevole.

L’alternativa è acquistare telefonini Android che vengono aggiornati direttamente da Google, come per esempio i suoi Nexus, oppure lasciar perdere il mondo Android e rifugiarsi da Apple o Microsoft, che hanno una politica di aggiornamento più coerente e durevole. Apple, per esempio, dichiara che i dispositivi iOS che usano versioni non aggiornate di iOS 9 sono soltanto il 25%, mentre i telefonini Microsoft non aggiornati sono il 21%.

L’azienda coreana ha risposto ufficialmente dicendo che sta migliorando i propri aggiornamenti e le informazioni di sicurezza ai clienti, ma al momento quell’82% di telefonini Android obsoleti e intenzionalmente non aggiornabili è un dato che fa riflettere.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Apple, aggiornamenti per OS X e iOS

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Segnalo brevemente che sono usciti gli aggiornamenti Apple che portano OS X alla versione 10.11.3 (risolvendo alcuni problemi di funzionamento e di sicurezza) e iOS alla versione 9.2.1 (risolvendo anche qui varie magagne). Almeno una delle falle turate consente di prendere il controllo del dispositivo Apple semplicemente facendogli visitare un sito appositamente confezionato.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Adesso la Tesla entra ed esce da sola dal garage e si parcheggia da sé

Adesso la Tesla entra ed esce da sola dal garage e si parcheggia da sé

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/01/12 20:50.

Oggi Tesla ha rilasciato la versione 7.1 del software di gestione delle sue auto elettriche Model S e X. Fra le varie novità spicca la funzione Summon (chiama), che consente al guidatore di ordinare all’auto di uscire da sola dal posto dove è parcheggiata, come mostrato nei video qui sotto.

Electrek ha pubblicato le schermate dell’aggiornamento che ne spiegano il funzionamento in dettaglio: la funzione consente anche di parcheggiare l’auto, se allineata correttamente, a condizione che il conducente sia a meno di tre metri dal veicolo. La Tesla parcheggia ed esce autonomamente usando il computer di bordo e i propri sensori; il conducente può fermarla usando il telecomando. Per ragioni legali, questa funzione va usata soltanto su proprietà privata.

A parte l’effetto “wow” della funzione, è un’opzione molto utile quando capita, purtroppo spesso, di trovare il simpaticone che parcheggia dopo di te vicinissimo alla tua auto e ti impedisce di entrare o ti obbliga a contorsioni da circo. Inoltre è utile per chi ha un posto auto stretto, come me, visto che la Tesla S non è proprio un’auto particolarmente snella (2,18 m di larghezza a specchietti aperti, 1,96 m a specchietti ripiegati) e la X non è da meno.

L’aggiornamento introduce, fra l’altro, anche il parcheggio assistito negli spazi perpendicolari, l’apertura automatica della porta servoassistita del garage e limitazioni alle funzioni di sterzo automatico e guida assistita e miglioramenti al mantenimento di corsia.

Manca ancora, purtroppo, la funzione più desiderata: quella che consente di avere i circa 75.000 dollari necessari per acquistare una Tesla Model S di base (con software aggiornato) o i 90.000 dollari della Model S con la massima autonomia e il suddetto software aggiornato.

2016/01/10 23:35. Tesla ha pubblicato un annuncio ufficiale che spiega a cosa serve la funzione Summon: serve per consentire ai proprietari di prendere dimestichezza con questa novità stando su proprietà privata e per abituarli all’idea che prima o poi la loro auto elettrica “sarà in grado di guidare ovunque nel paese” per raggiungerli, “caricandosi da sola strada facendo”. Questo, insomma, è soltanto il primo piccolo passo indispensabile. Anche perché se l’auto non riesce a uscire dal garage da sola, non può certo venirvi a prendere da qualche parte.

2016/01/12 20:50. Ecco un video di una Tesla che si parcheggia da sola (con il conducente a bordo): maggiori info qui.

Segnalo anche due demo di mantenimento di corsia/carreggiata senza strisce laterali: nel secondo video notate che a 0:40 l’auto rileva il ciclista e rallenta di conseguenza. Impressionante e anche un po’ inquietante.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Aggiornamenti di sicurezza per Android: troppo lenti anche con i Nexus di Google

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Ci sono dodici falle di sicurezza da turare in Android: cinque consentono l’esecuzione di codice da remoto o l’accesso di root. Una di queste falle, la CVE-2015-6636, consente di iniettare malware nel dispositivo tramite un file, che può essere incluso in una pagina Web, una mail o un MMS, e va corretto con un aggiornamento già disponibile.

L’annuncio di queste falle e dell’aggiornamento disponibile è nel bollettino di sicurezza di gennaio su Android.com, che risale al 4 gennaio (dieci giorni fa). Ma sul mio telefonino Android Nexus 5X, che monta Android 6.0.1 e in teoria dovrebbe ricevere gli aggiornamenti direttamente da Google (è per questo che l’ho scelto), questo aggiornamento è arrivato soltanto stamattina.

È normale: stando alle info di supporto di Google, “possono volerci fino a due settimane” prima che un aggiornamento raggiunga uno specifico dispositivo. Una finestra di vulnerabilità decisamente ampia. E questo è il livello di servizio che ha chi riceve gli aggiornamenti diretti da Google; non oso immaginare quanto a lungo rimane scoperto chi deve dipendere dall’intermediazione del proprio operatore/venditore per gli aggiornamenti. Un aspetto da non trascurare quando si tratta di investire in uno smartphone.

Avrei potuto forzare l’aggiornamento usando una delle varie procedure
pubblicate online, ma mi sembra assurdo dover spendere così tanto tempo
e risorse mentali per un semplice aggiornamento di uno smartphone. Da questo punto di vista, il mio esperimento con il Nexus di Google è una delusione.

Per chi volesse controllare lo stato di aggiornamento del proprio Android, nella versione 6.0 e successive si va in Impostazioni – Info sul telefono – Aggiornamenti di sistema e in Verifica la presenza di aggiornamenti e in Impostazioni – Info sul telefono – Livello patch di sicurezza.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Aggiornamenti di sicurezza per Microsoft e Adobe Acrobat

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/01/13 12:00.

È disponibile il bollettino di sicurezza di gennaio di Microsoft, che segnala falle critiche in Silverlight, Windows (varie versioni), Office, Internet Explorer, Edge e altri prodotti software. Almeno due di queste falle sono sfruttabili dagli aggressori semplicemente convincendo gli utenti a visitare una specifica pagina Web. Gli aggiornamenti correttivi sono disponibili secondo la consueta procedura di Windows Update.

Inoltre Adobe ha pubblicato il proprio bollettino di sicurezza di gennaio, che allo stesso modo segnala falle critiche in Acrobat che vanno corrette subito installando gli appositi aggiornamenti come descritto nel bollettino.

Considerato che moltissimi attacchi basati su Cryptolocker e simili sfruttano dei PDF infetti che colpiscono gli utenti sfruttando falle di Acrobat, non è il caso di aspettare ad aggiornarsi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Dite addio a Internet Explorer 8, 9 e 10: da martedì prossimo non saranno più supportati da Microsoft

Dite addio a Internet Explorer 8, 9 e 10: da martedì prossimo non saranno più supportati da Microsoft

Martedì 12 gennaio le versioni 8, 9 e 10 di Internet Explorer raggiungeranno la “fine vita” (end of life), ossia non saranno più supportate da Microsoft per quanto riguarda aggiornamenti di sicurezza o correttivi. Chi li usa resterà quindi vulnerabile alle falle note e a quelle che verranno presumibilmente scoperte in futuro.

L’avviso di Microsoft (in italiano) consiglia agli utenti di passare a Internet Explorer 11, “che continuerà a ricevere aggiornamenti della sicurezza, correzioni rapide per la compatibilità e supporto tecnico in Windows 7, Windows 8.1 e Windows 10”.

Chi non segue questo consiglio ma scarica gli aggiornamenti periodici di Microsoft si troverà con un promemoria sullo schermo a partire sempre da questo martedì. L’unica versione di Internet Explorer che resterà supportata è la 11, ma in realtà Microsoft sta spingendo affinché gli utenti abbandonino anche questa in favore del suo nuovo browser, denominato Edge.

Per chi sviluppa software e gestisce sistemi informatici la cessazione del supporto alle vecchie versioni di Internet Explorer, celebri per le loro idiosincrasie e incompatibilità, è probabilmente una buona notizia, perché semplifica il numero di versioni di browser da gestire e offre una giustificazione per andare dal capo e finalmente costringerlo ad aggiornare il software.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Linux, sicurezza scavalcata premendo 28 volte Backspace

Linux ha una buona reputazione in fatto di sicurezza, e molti linuxiani si bullano della robustezza di questo sistema operativo. Per cui vederli umiliati da un difetto di sicurezza ridicolo come quello scoperto da due ricercatori del Politecnico di Valencia è piuttosto divertente.

I ricercatori, Hector Marco e Ismael Rispoli, hanno infatti trovato che si può scavalcare completamente la sicurezza di un computer Linux correttamente configurato semplicemente premendo il tasto Backspace 28 volte durante l’avvio, quando la macchina chiede il nome dell’utente. C’è infatti un difetto nel bootloader Grub2, per cui queste pressioni ripetute portano alla Rescue Shell di Grub.

Niente panico, comunque: la falla è sfruttabile soltanto da chi ha accesso fisico al computer, per cui è un rischio soltanto in ambienti promiscui, e il bello del software libero è che chiunque può apportare modifiche e correzioni. Infatti i due ricercatori hanno realizzato una patch che risolve il problema. Ubuntu, Red Hat e Debian hanno già pubblicato degli aggiornamenti ufficiali.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.