Vai al contenuto

[IxT] Sicurezza: immagini JPEG, mega-falla per Windows

Questa newsletter vi arriva grazie alle gentili donazioni di “a.passi”, “luigi.ponzi***” e “samuele”.

Adesso non ci si può fidare più neppure delle immagini. Infatti può essere sufficiente visualizzare un’immagine nel popolarissimo formato JPEG per infettare un computer Windows. Questo nuovo traguardo del progresso informatico è stato annunciato da Microsoft ieri (14/9/2004). I dettagli tecnici sono disponibili qui e in forma ancora più tecnica qui.
Ulteriori informazioni, appena disponibili, saranno catalogate qui.

Microsoft consiglia ai propri utenti Windows XP di aggiornare subito il proprio software con Windows Update. Sono a rischio anche gli utenti di varie versioni di Microsoft Office, per i quali c’è un apposito aggiornamento.

Non sono a rischio, secondo Microsoft, gli utenti di Windows NT, 98, 98SE, ME, 2000 e chi ha Windows XP ed è già riuscito ad installare il Service Pack 2. Un elenco delle versioni di Windows e dei numerosi programmi vulnerabili è fornita da Microsoft, insieme ai link per l’aggiornamento, presso il secondo dei link citati sopra.

La vulnerabilità è considerata “critica” da Microsoft, dato che rende appunto sufficiente la visualizzazione di un’immagine (per esempio in Internet Explorer o in Outlook o in un documento Office) per permettere all’aggressore di fare quel che gli pare al PC del bersaglio.

Giusto per chiarire oltre ogni dubbio: per infettarsi, a un utente Windows basta visitare un sito Web contenente un’immagine appositamente confezionata, oppure ricevere l’immagine in un e-mail o via chat e aprirla/visualizzarla. È una falla grave.

Al momento non mi risultano disponibili dimostrazioni pubbliche del funzionamento di questa vulnerabilità.

È dunque il caso di smettere di scaricare immagini? Dobbiamo metterci a tremare ogni volta che ci arriva una foto da un amico o sfogliamo una pagina Web? Per adesso no, ma nei prossimi giorni sì.

La ragione è semplice: ora che la falla è stata annunciata, gli aggressori (sia quelli che agiscono per puro vandalismo, sia quelli che agiscono con fini di lucro, come spammer e pornovendoli) si daranno da fare per scoprire il funzionamento della falla e sfruttarla (alcuni probablmente l’hanno già fatto). È quindi assolutamente indispensabile scaricare e installare gli aggiornamenti di sicurezza predisposti da Microsoft.

Gli utenti Mac e Linux al momento non risultano affetti da questo problema, che ricorda (in peggio) il recente allarme che li aveva colpiti per l’immagine ammazzabrowser, quella in formato PNG, già descritta in questa newsletter. Mentre nel caso della falla Mac e Linux il risultato era il collasso del browser, senza possibilità di infezione e senza danni permanenti al sistema operativo, nel caso di questa falla di Windows l’immagine non si limita ad ammazzare il browser, ma consente di infettare permanentemente il sistema operativo.

Per il vostro bene e per quello della Rete, insomma, se usate Windows, aggiornatelo. Aggiornatelo SUBITO.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

[IxT] Volete diventare spammer per un giorno?

Questa newsletter vi arriva grazie alle gentili donazioni di “azanetti81”, “scardig” e “Grizzly”.

Ho bisogno il vostro aiuto per un piccolo test facile facile. Come probabilmente già sapete, sto scrivendo un libro gratuito online, “L’acchiappavirus”, dedicato alla sicurezza informatica in parole semplici.

Sto scrivendo il capitolo su come rinforzare le difese di Outlook Express (su, su, non ridete) e mi serve un campione di posta eterogenea per i miei collaudi.

Vi chiederei pertanto di mandare un messaggio qualsiasi (anche più di uno) al mio indirizzo paoloattivissimo@hotmail.com.

Includete allegati (piccoli, ho solo 2 MB di spazio nella casella), messaggi in formato HTML, in formato “testo semplice”, script, insomma tutto quello che vi pare (tranne i virus, quelli arrivano già da soli). Grazie!

Fra l’altro, il libro è ormai agli sgoccioli. L’ultimo aggiornamento, già disponibile su Attivissimo.net, contiene nove capitoli praticamente chiusi (a parte le discutibili novità del Service Pack 2, dal quale vi consiglio di stare alla larga, se possibile, ancora per un po’). Ho inoltre riformulato una delle regole del Dodecalogo (la 9) per renderla più chiara.

Se vi va, date un’occhiata al testo e ditemi se c’è qualcosa di poco chiaro o anche di semplicemente sbagliato; le istruzioni per partecipare alla revisione sono qui.

Il Dodecalogo aggiornato è qui.

Se avete già partecipato alla revisione e notate che non ho incluso le vostre segnalazioni, non offendetevi: devo ancora smaltirne un po’. Appena arrivo alla vostra segnalazione, vi scriverò privatamente per parlarne.

Grazie ancora dell’aiuto che mi avete dato sin qui.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

[IxT] Il brevetto Microsoft sul Tab nei browser? Una bufala

Questa newsletter vi arriva grazie alle gentili donazioni di “giovanni.feller”, “malesani” e “elena.porcelli”.

Rieccomi dopo una tonificante pausa estiva: spero di trovarvi altrettanto ricaricati. Il Servizio Antibufala riparte tra un paio di giorni con un’infornata di nuove indagini sui temi che mi avete segnalato in queste settimane. E per chi ha seguito le mie vicende, posso confermare che la migrazione al Mac è stato un gioioso successo.

Comincio con una notiziola in un certo senso “preventiva”: ho visto in giro parecchi commenti allarmati a proposito di un brevetto Microsoft che, stando alle voci che corrono, coprirebbe qualsiasi browser che usi il tasto Tab (o qualsiasi altro tasto) per saltare da un link all’altro in una pagina Web. Vorrei smentire subito la storia prima che si levi la solita ondata di proteste confuse.

La notizia, pubblicata per esempio da Slashdot, pare provenire in origine dal blog di Steve Suehring, redattore di LinuxWorld, che dichiara che il brevetto USA 6785865 sarebbe un brevetto che copre “nientemeno che l’uso della tastiera per navigare all’interno di una pagina Web”, col risultato che qualsiasi browser non-Microsoft sarebbe in violazione del brevetto della società di zio Bill.

Si è gridato subito allo scandalo e all’ennesima manovra di Microsoft per soffocare il software libero tramite l’arma dei brevetti software, ma nella foga ci si è dimenticati di un paio di dettagli, verificabili consultando gratuitamente l’archivio dei brevetti USA e il testo integrale del brevetto citato.

Il primo dettaglio è che il brevetto è datato 1997. Di conseguenza, considerarlo come una mossa nella recente campagna di Microsoft contro l’open source è uno strafalcione che è meglio evitare per non far cadere nel ridicolo una causa peraltro validissima come l’opposizione ai brevetti software, che rendono impossibile l’innovazione da parte dei singoli e delle piccole società di software a tutto vantaggio delle grandi multinazionali del settore.

Il secondo dettaglio è che il brevetto non copre affatto tutti i browser che consentono la navigazione tramite tastiera. In un brevetto, quello che conta è il testo della prima rivendicazione, non il riassunto (Abstract) citato da Suehring. La prima rivendicazione descrive in realtà un particolare metodo per evidenziare i link in un documento.

In pratica, il metodo organizza i link in una sequenza di una lista di elementi, in base alla posizione dei link nel documento. Questa lista ha la particolarità di “comprendere informazioni che descrivono l’ubicazione di un link successivo e il suo tipo”. Pigiando un tasto, il focus (per esempio l’evidenziazione o il cursore) passa al link successivo.

In altre parole, il brevetto non copre qualsiasi browser che permette di spostarsi da un link all’altro premendo un tasto, ma soltanto un browser che permetta di farlo e al tempo stesso generi una lista di link comprendenti informazioni sui link successivi, con tanto di tipo di quei link. Una cosa ben diversa, insomma, e tutto sommato innovativa per i browser dell’epoca (ricordate com’era l’Internet Explorer 3.0 citato nel brevetto?).

Sono contrario ai brevetti del software, e non sono certo il tipo che prende abitualmente le difese di Microsoft, ma stavolta si è gridato al lupo senza che ci fosse il lupo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

[IxT] Grandi aggiornamenti per tutti (Windows SP2, Mac OS X 10.3.5)

Questa newsletter vi arriva grazie alle gentili donazioni di “antoniazu****”, “paolo (da Fiumicino)” e “fllinalon”.

È stagione di grandi aggiornamenti per tutti, compresi una volta tanto gli utenti Mac. Quelli Linux possono continuare a godersi le vacanze.

Con un anno di ritardo sulla tabella di marcia annunciata inizialmente, Microsoft ha finalmente iniziato a rendere disponibile il Service Pack 2, che è una vera rivoluzione per gli utenti Windows XP. Se funziona, renderà molto meno insicuro Windows. Tuttavia la prudenza consiglia di attendere un po’ prima di installare: lasciate che lo facciano gli altri, così se ci sono problemi, saranno loro a subirne le conseguenze 🙂

Viste le dimensioni enormi dell’aggiornamento (a seconda delle situazioni si va da circa 100 a circa 250 megabyte), per non sovraccaricare i propri server, Microsoft ha predisposto un aggiornamento scaglionato. In sostanza, chi vuole scaricare il Service Pack deve soltanto lasciare attiva la funzione Windows Update, che provvederà a scaricare a pezzettini il Service Pack 2 man mano che viene reso disponibile (al momento in cui scrivo, la versione italiana non è ancora pronta). Al resto, se vi fidate, provvederà mamma Microsoft.

Chiaramente scaricare un centinaio di megabyte di aggiornamenti è un bel salasso per chi si collega telefonicamente: per venire incontro a questi utenti, Microsoft sta predisponendo l’opzione di farsi spedire gratuitamente un CD contenente tutto l’SP2. Il CD sarà inoltre incluso nelle principali riviste d’informatica.

La situazione è in continua evoluzione, per cui vi conviene consultare il sito Microsoft per i dettagli.

Una raccomandazione su tutte: NON SCARICATE IL SERVICE PACK 2 DA FONTI DIVERSE DA MICROSOFT. Ne circolano varie versioni in molti siti e sui circuiti peer-to-peer, ma è possibile che siano danneggiate, obsolete o intenzionalmente alterate per fare da veicoli ideale per gli attacchi informatici.

Per gli utenti Mac e invece pronto l’aggiornamento che, fra le altre cose, corregge la falla dell’immagine ammazzabrowser descritta nelle newsletter precedenti e dovuta a un difetto nella libreria libpng usata da molti sistemi operativi. Una volta installato questo aggiornamento, tutti i browser che attingono a quella libreria sono istantaneamente “curati”.

Anche quest’aggiornamento è piuttosto massiccio. Si tratta di una quarantina di megabyte (per chi ha già aggiornato Mac OS X alla versione 10.3.4) che richiedono un riavvio. L’aggiornamento Mac migliora varie funzioni del sistema operativo, fra cui Bluetooth, driver per le schede grafiche ATI e Nvidia, i font, le connessioni Firewire e USB, la gestione dei dischi formattati NTFS, la gestione delle immagini GIF nel browser Safari, e altro ancora.

Trovate info sull’aggiornamento di Mac OS X qui (in inglese).

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

[IxT] Beastie Boys “infetti”, smentita con sorprese

Questa newsletter vi arriva grazie alla gentile donazione di “santamaria2001it”.

Ricordate l’accusa che circolava qualche tempo fa, secondo la quale il nuovo disco dei Beastie Boys infettava i PC? Ne avevo parlato già in un articolo su APOGEOnline. EMI Italia mi ha cortesemente inviato una copia protetta del disco, e io l’ho data in pasto a Windows, Linux e MacOS X.

I risultati confermano che il disco non ha un comportamento paragonabile a quello di un virus, ma ci sono comunque parecchie sorprese. La prima è che il comunicato di EMI pubblicato sul sito dei Beastie Boys mente, probabilmente per incompetenza (EMI Italia ha invece fornito dati esatti); la seconda è che il disco “protetto” si copia senza alcuna difficoltà. Se poi usate un Mac, non vi accorgete neppure che c’è un sistema anticopia.

Complimenti dunque a Macrovision per aver venduto, in sostanza, aria fritta.

I dettagli sono qui.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

[IxT] CD anticopia Zanichelli: aggiornamenti, correzioni e intervista

Questa newsletter vi arriva grazie alla gentile donazione di “valgimigli”.

Qualche tempo fa scrissi un articolo sui problemi dei sistemi anticopia usati da alcuni dizionari su CD-ROM e puntai il dito in particolare su un dizionario Zanichelli. Il CD, annata 1998 per Windows 98, era inutilizzabile sotto XP e quindi un prodotto digitale era diventato inservibile dopo meno di un decennio, alla faccia dell’eternità promessa dal digitale.

Zanichelli mi ha contattato in proposito, e ci sono correzioni, chiarimenti e dati sul mondo dell’anticopia, una volta tanto visto dalla prospettiva di chi di protezione ferisce per non perire. 🙂

Pare insomma che l’anticopia funzioni: se vi interessa, l’articolo è qui.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

[IxT] Altre falle di Internet Explorer; chiarimenti su falle nei browser

Questa newsletter vi arriva grazie alle gentili donazioni di “silvio.bacch***”, “fiorentino” e “pietro.pall***”.

Secunia riferisce di altre quattro falle in Internet Explorer.

La prima consente a un sito ostile di aggirare le normali limitazioni di sicurezza di IE e quindi eseguire istruzioni (script) ostili come se provenissero da un altro sito ritenuto sicuro.

La seconda consente a un sito ostile di ingannare gli utenti, facendoli cliccare su un oggetto, oppure trascinarlo, senza esserne consapevoli, per esempio aggiungendo dei link pericolosi o compromettenti ai Preferiti.

La terza consente di far eseguire script ostili nei link dei Preferiti. La quarta, infine, permette di alterare a piacimento l’aspetto delle finestre dell’applicazione o delle finestre di dialogo, creando schermate ingannevoli che inducono gli utenti ad aprire inconsapevolmente file pericolosi o a compiere altre operazioni a rischio.

Le soluzioni, secondo Secunia, sono due:

  • disabilitare l’Active Scripting
  • usare un altro prodotto

Queste falle hanno effetto su Internet Explorer 5.01, Internet Explorer 5.5 e Internet Explorer 6 con tutti gli aggiornamenti di sicurezza sinora forniti.

Secunia ha al momento questa classifica di segnalazioni di falle:

La presenza di Internet Explorer al primo posto sotto Windows e all’ultimo sotto Mac sembra confermare una delle critiche più frequenti al browser Microsoft, ossia che la sua vulnerabilità deriva dalla scelta di integrarlo strettamente nel sistema operativo.

Già che sono in tema di sicurezza, charisco un punto della precedente newsletter del 10/7 riguardante altre falle per Opera, Mozilla, Firefox, Safari e altri prodotti non-Microsoft.

In quella newsletter ho descritto due  falle distinte, ma non le ho separate abbastanza chiaramente. Una è la falla “shell:”, l’altra è quella annunciata da Secunia.

Stando alle informazioni pubblicate da Secunia e da Mozillaitalia.org, oltanto le ultimissime versioni disponibili di Opera, Mozilla, Firefox e Thunderbird risolvono entrambe le falle.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

[IxT] Falle anche per Mozilla, Firefox, Safari, Thunderbird, Opera

Questa newsletter vi arriva grazie alla gentile donazione di “enzoeffe”.

Ci sono guai anche per i browser non-Microsoft; spero di preparare un test del Browser Challenge anche per queste magagne, ma nel frattempo mi premeva avvisarvi al più presto, in modo che possiate adottare i rimedi del caso. Infatti, a differenza del problema descritto ieri a proposito del browser Microsoft, le correzioni degli altri browser sono già pronte.

Le versioni Windows di Mozilla, Firefox e Thunderbird sono vulnerabili a una falla che consente accesso ai file dell’utente:
http://www.mozilla.org/security/shell.html

La falla è stata segnalata il 7 luglio e la correzione è disponibile dall’8 luglio sul sito www.mozilla.org all’indirizzo indicato sopra. Trovate anche istruzioni in italiano qui.

Il rimedio più semplice è scaricare e installare le nuove versioni di questi browser e client di posta. In alternativa, potete usare ShellBlock, un miniprogramma che corregge il problema senza dover installare le versioni aggiornate dei programmi vulnerabili:
http://update.mozilla.org/extensions/moreinfo.php?id=154

La falla non riguarda gli utenti Linux e Mac di questi browser, dato che è legata a una particolare funzione di Windows.

Inoltre Secunia ha pubblicato un’altra falla che consente a un sito ostile di far comparire il proprio contenuto all’interno di quello di un sito regolare, consentendo per esempio furti di password o di numeri di carte di credito, se si visitano contemporaneamente siti fidati che richiedono questi dati e siti non fidati.

La descrizione della falla, che colpisce numerosi browser, compreso IE per Mac, Konqueror, Mozilla, Firefox, Safari e Opera, è disponibile insieme a un simpatico test qui.

Per gli utenti Opera, Firefox e Mozilla, la falla è risolta scaricando le versioni aggiornate, rispettivamente la 7.52, 0.9 e 1.7.

La falla risale, secondo Secunia, a sei anni fa.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

[IxT] Internet Explorer crasha con una riga di codice

È stata pubblicata da poco una curiosa falla di Internet Explorer che lo fa andare in crash usando semplicemente una riga di codice.
Imbarazzante.

Ho colto il suggerimento di un lettore, “nicgarga”, e ho preparato una paginetta di test:
http://www.attivissimo.net/security/bc/test11.htm

Dilettatevi a collaudare i vari browser: secondo le mie prove, sono immuni Firefox 0.9.1 per Windows, Opera 7.52 per Windows e Mac, e Mozilla 1.6 per Windows.

Safari 1.2.2 per Mac e Internet Explorer 5.2 per Mac resistono ma non si comportano correttamente (non visualizzano la pagina di fine test).

Il test che ho preparato è innocuo: il suo unico effetto è mandare in crash il browser. Questa falla non consente intrusioni.

Buon divertimento!

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
[IxT] Papere anche in casa Apple

[IxT] Papere anche in casa Apple

Questa newsletter vi arriva grazie alla gentile donazione di “miry”.

Se andate al negozio online inglese di Apple, e digitate “talk now french” (il nome di una serie di programmi per l’apprendimento delle lingue straniere), date un’occhiata al prezzo del programma “talk now English”.

Centodiciassettemilaquattrocentonovantotto sterline e ottantatre pence.

E poi ci si chiede perché tutti pensano che il Mac sia caro…

Caso mai l’errore venga corretto prima che vi arrivi questo messaggio, ho catturato la schermata:

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.