Vai al contenuto

I cursori animati minacciano persino Vista

Patch d’emergenza per Windows: i cursori animati lo mandano in tilt

Questo articolo vi arriva grazie alle gentili donazioni di “franco.bo****” e “happy.moto****”. L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Microsoft ha pubblicato un avviso di sicurezza riguardante una falla importante in Windows XP e, in misura minore, anche in Windows Vista. La pezza apposita dovrebbe uscire oggi, secondo ZDNet, a testimonianza della gravità del problema (di solito Microsoft rilascia gli aggiornamenti di sicurezza una sola volta al mese, in blocco).

La falla consente a un cursore animato (file .ANI), annidabile in un e-mail o in una pagina Web visitata con Internet Explorer 6 o 7, di causare un buffer overflow sfruttabile dai vandali della Rete per infettare i computer e usarli per ulteriori attacchi virali o campagne di spam. La falla viene già sfruttata da almeno un worm e da alcuni spammer e si diffonde anche tramite chiavette USB e altri supporti, come riferiscono F-Secure e McAfee.

Aggiornamento (4/4/2007): Zdnet segnala che anche Firefox è vulnerabile a questa falla se usato sotto Windows (anche Windows Vista); non disponendo del Protected Mode di IE, Firefox consente un accesso ai dati dell’utente più esteso rispetto a IE in Protected Mode sotto Vista (con IE, l’intruso può “soltanto” leggere i dati dell’utente; con Firefox può anche modificarli). Sul sito di Determina.com trovate un’animazione (non un cursore animato!) che dimostra IE e Firefox su Vista alle prese con questa falla. Va notato che per Firefox si tratta di un proof of concept, ossia di codice dimostrativo, attualmente non circolante in Rete, ma è comunque una dimostrazione eloquente: come spiega l’animazione, Firefox si appoggia a Windows per la gestione dei cursori animati.

Il blog di McAfee presenta inoltre un video molto eloquente di Vista alle prese con un cursore animato ostile: il crash e riavvio, nota McAfee, non è quello che avviene negli attuali attacchi via Web, ma è comunque una dimostrazione chiara della vulnerabilità. Trend Micro descrive la falla qui.

Microsoft, secondo quanto riferito dal SANS Internet Storm Center, dice che gli utenti di IE7 con il Protected Mode sono protetti, e che gli antivirus aggiornati sono in grado di rilevare la minaccia. Gli utenti di Outlook 2007 sono protetti, come lo sono quelli di Windows Mail su Vista se non inoltrano l’e-mail infetto, mentre gli utenti di Outlook Express restano vulnerabili persino quando leggono la posta in formato “testo semplice”.

La raccomandazione, come al solito, è evitare di navigare con Internet Explorer, bersaglio preferito dei vandali, e sostituirlo con Opera, Firefox* o Mozilla.

*Aggiornamento (4/4/2007): Firefox resiste alla falla circolante, ma è vulnerabile (sotto Windows) al codice dimostrativo di Determina.com citato sopra, che usa i cursori animati come vettore d’infezione.

La falla è uno smacco per Microsoft, che ha puntato molto sulla sicurezza come motivo d’acquisto di Vista; vedere che anche Vista è così facilmente bucabile potrebbe indurre a qualche ripensamento, soprattutto all’altezza del portafogli.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Apple, una dozzina di falle da turare

Falle Mac OS X gravi, patch da installare subito

Questo articolo vi arriva grazie alle gentili donazioni di “massimo.fia****” e “cp”. L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Apple ha rilasciato una patch che tura oltre una dozzina di falle, alcune decisamente gravi, all’interno del proprio sistema operativo Mac OS X. Una di queste falle permette di prendere il controllo di un Mac all’interno di una sottorete e quindi è ideale per esempio per un attacco all’interno di un ufficio o di un hotspot Wifi pubblico.

Per questa falla è già circolante il codice necessario per un attacco; un’altra falla importante è veicolata dai documenti PDF. Uno di questi documenti, se confezionato in modo ostile, consente di eseguire codice a piacimento sul Mac della vittima.

La patch è appunto pronta e dovrebbe essere installata automaticamente da Mac OS X. Se avete personalizzato Mac OS X per “disadminizzare” l’account che usate per la normale attività, tuttavia, l’installazione non è automatica ma va eseguita manualmente: basta cliccare sull’icona della mela nella barra menu e scegliere Aggiornamento Software.

E’ importante notare che si tratta della quinta patch in cinque mesi per quanto riguarda il sistema operativo di casa Apple; il mito dell’inviolabilità del Mac va quindi ridimensionato con una sana dose di realismo. E’ indubbiamente meno vulnerabile di Windows per una lunga serie di ragioni (non solo tecniche) e non ha altrettanti problemi di virus e malware, ma da questo ad atteggiarsi ad invulnerabile, come fanno spesso certi utenti Mac, ce ne passa.

Maggiori dettagli sulla patch e sulle falle che risolve sono in questo articolo di The Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Rootkit incompatibile? No problem, c’è la patch

Rootkit incompatibile? No problem, c’è la patch

Aggiornamento problematico di Windows causato da infezione virale. Soluzione: aggiornamento automatico del virus

Questo articolo vi arriva grazie alle gentili donazioni di “teresal****” e “p.tiz****”.

Il pacchetto mensile di aggiornamenti di Windows di questo mese aveva dato problemi nell’aggiornamento MS10-015 agli utenti di Windows XP e Vista, con tanto di Schermo Blu della Morte, come descritto in un articolo precedente. Ma non era colpa di Microsoft: il problema era scatenato da un virus, più propriamente un rootkit (un programma ostile che altera i file vitali del sistema operativo), che era già presente sui computer. L’aggiornamento falliva, insomma, perché il PC era infetto.

Questo agente infettante, in circolazione almeno da novembre scorso e denominato TDL3 o TDSS o Tldserv a seconda della società di sicurezza informatica che lo descrive, si insedia nel file atapi.sys di Windows, che è un driver: questo gli consente di agire con i massimi privilegi di sistema, dando ai suoi creatori pieno accesso al computer infettato. Astuto. Ma l’aggiornamento di Windows andava in conflitto con il rootkit e questo portava allo Schermo Blu della Morte quando si riavviava il computer dopo l’aggiornamento Microsoft.

La soluzione è stata semplice quanto ironica: nel giro di un paio d’ore, gli autori del rootkit hanno aggiornato la propria creatura (cosa che stanno facendo da mesi sui computer delle proprie vittime ignare), rendendola compatibile con l’aggiornamento di Windows. Tanta solerzia non è certo dettata dall’altruismo: un PC infetto che va in tilt è, per i gestori dell’infezione, un PC inutilizzabile per i loro loschi scopi.

Purtroppo l’aggiornamento virale non è arrivato in tempo per molti utenti Windows. Le istruzioni per rimediare ad eventuali problemi sono presso PatrickWBarnes.com (in sintesi, boot da CD di Windows e sostituzione di atapi.sys con una copia originale non infetta); i dettagli sul rootkit sono presso Prevx.com.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Windows, tappato il buco quasi maggiorenne

Windows, tappato il buco quasi maggiorenne

Patch mensile di Windows tura falla aperta da 17 anni

Questo articolo vi arriva grazie alle gentili donazioni di “massimilianodepa******” e Luca Canteri (citato con il suo permesso) ed è stato aggiornato dopo la pubblicazione iniziale.

Il pacchetto mensile di aggiornamenti di sicurezza di Microsoft di febbraio, uscito martedì scorso, è piuttosto corposo ma non da record. Tura 26 falle e riguarda gli utenti di tutte le versioni recenti di Windows; le vulnerabilità considerate critiche sono cinque in XP e 2000 e tre in Vista e Seven. Ci sono anche aggiornamenti per le versioni pre-2007 di Microsoft Office, comprese quelle per Mac. Non risolve, tuttavia, la falla che consente agli aggressori di leggere da remoto i file degli utenti di XP e Internet Explorer.

Come descritto nel dettagliato bollettino di Microsoft, si tratta di correzioni preventive: nessuna di queste falle veniva sfruttata per attacchi informatici, a quanto risulta, ma ora che è stata annunciata la loro esistenza è probabile che qualcuno ne approfitterà, anche perché alcune consentono di prendere il controllo del PC della vittima da remoto. Per una di esse, la MS10-013, era sufficiente convincere la vittima ad aprire un file video AVI appositamente truccato. Un’altra, come segnalato a gennaio, era aperta da 17 anni: risaliva a Windows NT 3.1.

Aggiornare il proprio software è quindi altamente consigliabile, ma con le solite cautele: fate una copia di sicurezza del sistema prima di procedere. Ci sono infatti alcune segnalazioni di problemi con uno degli aggiornamenti, l’MS10-015, ossia proprio quello che risolve la falla quasi maggiorenne. Questo aggiornamento causa lo schermo blu della morte in alcune installazioni di Windows XP. I computer colpiti non riescono poi a riavviarsi correttamente. Il problema è discusso, insieme alle istruzioni per la risoluzione, nei forum Microsoft qui.

Il rimedio consigliato, però, richiede l’uso del CD o DVD d’installazione di Windows, che purtroppo un buon numero di marche di computer non fornisce più (scelta irresponsabile che andrebbe punita perlomeno rifiutandosi di comperare PC venduti in questa configurazione), ed è ovviamente un grosso problema per gli utenti di netbook, che non hanno un lettore di CD/DVD integrato. Il blog di Brian Krebs offre qualche rimedio per chi non è debole di cuore. L’Internet Storm Center affronta il problema qui.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Acrobat e Reader, falla Javascript

Acrobat e Reader, falla Javascript

Usate Acrobat o Reader? Meglio disabilitare Javascript in entrambi

Leggi un PDF e t’infetti. Sembra impossibile, visto che il PDF è un formato di sola lettura, eppure nei programmi Acrobat 9.2 e Reader 9.2 di Adobe, che gestiscono questo formato, c’è una falla critica, classificata come CVE-2009-4324 e segnalata qui da Adobe, che viene già sfruttata dai criminali online per installare software ostile sui computer delle vittime inconsapevoli del rischio.

La falla riguarda le versioni Windows, Macintosh e Unix del popolarissimo Reader gratuito e le versioni Windows e Mac di Acrobat (sì, sono a rischio anche i Mac). La correzione non sarà pronta prima del 12 gennaio prossimo, secondo quanto annunciato da Adobe.

Fino a quella data, se usate questi programmi e non volete essere esposti a questa vulnerabilità dovete disattivare le loro opzioni Javascript andando nelle loro preferenze, scegliendo la categoria Javascript e cliccando sulla casella di abilitazione del Javascript in modo da far sparire il suo segno di spunta.

Più in generale, è molto raro aver bisogno di usare Javascript dentro un documento PDF, per cui vi conviene tenere comunque Javascript disattivato nel Reader. Se per qualche ragione abbastanza insolita avete bisogno di tenerlo attivato ma volete comunque ridurre i rischi dovuti alla falla, potete usare i consigli tecnici provvisori di Adobe.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Microsoft, patch da record

Microsoft, patch da record

34 falle da turare per gli utenti Windows

Il 13 ottobre Microsoft ha pubblicato un aggiornamento da record che risolve ben 34 vulnerabilità che riguardano Windows, Internet Explorer, Windows Media Player, Office, Silverlight, Forefront, Developer Tools, Internet Information Services, ActiveX e SQL Server. Otto di queste vulnerabilità sono classificate come critiche: una è una falla in Internet Explorer 8 sotto Windows 7.

L’aggiornamento verrà ricevuto automaticamente dalla maggior parte degli utenti, ed è importante installarlo appena possibile perché alcune delle vulnerabilità turate, per esempio quella del protocollo FTP in Internet Information Services e le quattro di Internet Explorer che richiedono solo di attirare la vittima su una pagina preconfezionata, vengono già sfruttate da alcuni criminali informatici.

Il record precedente per un singolo aggiornamento era di giugno 2009, con 31 vulnerabilità turate nell’ambito degli aggiornamenti che Microsoft da fine 2003 pubblica il secondo martedì di ogni mese.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Windows 7 pirata infetta utenti, megapatch per Apple

Windows 7 pirata infetta utenti, megapatch per Apple

Non piratate Windows 7: è disponibile legalmente. E se preferite la Mela, aggiornate Mac OS X

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Due segnalazioni veloci dai due principali sistemi operativi: la prima riguarda Windows 7, il successore di Windows Vista. Le copie pirata circolanti in Rete sono spesso infette. Eweek, Zdnet e il Washington Post segnalano che una di queste copie infette agisce come un cavallo di Troia ed è riuscita ad infettare oltre 27.000 utenti.

L’infezione avanza al ritmo di circa 1500 nuove vittime al giorno, ma la società di sicurezza informatica Damballa è riuscita a prendere il controllo del sito Internet dal quale le copie infette prendevano ordini a insaputa degli utenti, convinti di essere stati particolarmente furbi. In realtà sono stati particolarmente gonzi, perché la Release Candidate di Windows 7 è scaricabile legalmente gratis dal sito ufficiale di Microsoft (dettagli qui; link diretto all’Evaluation Center italiano, grazie a Renato per la dritta).

La seconda segnalazione tocca gli utenti Apple: è uscita una mega-patch che porta il sistema operativo Mac OS X Leopard alla versione 10.5.7, rattoppando ben 67 falle di sicurezza, tre delle quali riguardano Safari, il browser predefinito del mondo Mac. L’elenco completo delle vulnerabilità corrette è sul sito di Apple in inglese e anche in italiano. E’ interessante notare che stando agli indizi presenti nella pagina di dettaglio di Apple, l’aggiornamento per Mac correggerebbe anche la segretissima falla che a marzo ha permesso a un utente noto solo come “Nils” di vincere con poca fatica un laptop Vaio e un premio in denaro alla gara di sicurezza CanSecWest, come raccontato qui.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Firefox 3.0.6 elimina 6 bachi, 1 critico; IE idem

Firefox 3.0.6 elimina 6 bachi, 1 critico; IE idem

Aggiornate il vostro Firefox e turate le falle; preparatevi a fare lo stesso per Internet Explorer

Dovreste essere già a posto grazie alla funzione di aggiornamento automatico di Firefox, se usate questo popolare programma di navigazione, ma controllate di avere la versione 3.0.6, disponibile anche in italiano per Mac, Windows e Linux, che rimedia sei vulnerabilità di sicurezza, una delle quali è considerata “critica” perché Firefox poteva crashare in un modo che poteva permettere ad un aggressore di sfruttare il crash per eseguire il proprio codice sul computer della vittima. L’elenco completo delle falle di sicurezza turate è disponibile qui. E’ il sesto aggiornamento di Firefox in sei mesi.

Se nel mondo open source di Firefox si va avanti a produrre rattoppi, anche in casa Microsoft è ora di sistemare falle: secondo Zdnet, nel consueto pacchetto mensile di aggiornamenti, previsto per martedì prossimo (10 febbraio), ci saranno correzioni per quattro falle classificate come “critiche” e riguardanti vulnerabilità di Internet Explorer e di Microsoft Exchange Server. Altre falle turate, definite “importanti”, riguarderanno SQL Server e Office.

Lo so, scaricare e installare è una scocciatura, ma è indispensabile per mantenere alte le difese, e Firefox e Microsoft fanno di tutto per rendere automatico e indolore il procedimento. Non cincischiate, e se non siete responsabili della sicurezza del vostro computer, assicuratevi che chi lo è si tenga al passo con gli aggiornamenti o abbia delle validissime ragioni per non farlo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Patch Microsoft blocca Zone Alarm

Utenti di Zone Alarm tagliati fuori da Internet? C’entra la patch di zio Bill

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Se improvvisamente non riuscite a collegarvi a Internet, o se conoscete qualcuno che ha questo problema, la colpa potrebbe essere dell’ultima infornata di patch di aggiornamento di Windows, in particolare della patch MS08-037.mspx che risolve una falla nell’implementazione del protocollo DNS in Windows 2000, XP, Server 2003, Server 2008.

Questa patch, infatti, manda in palla Zone Alarm: chi usa questo popolare firewall si trova tagliato fuori da Internet. Check Point Software, la società che gestisce Zone Alarm, ha pubblicato uno spiegone in inglese con soluzione provvisoria. Ovviamente, essendo pubblicato su Internet, questo spiegone rischia di essere poco utile a chi non riesce a connettersi a Internet, ma così va il mondo.

2008/07/15

La situazione sembra essere tornata alla normalità con l’uscita della versione aggiornata di Zone Alarm il 9 luglio. E’ stata predisposta una pagina in italiano con le istruzioni da seguire: cambiare temporaneamente la regolazione della Zona Internet a Medio e poi scaricare e installare la versione aggiornata (7.0.403 o superiore) del popolare software di sicurezza. Un riavvio e tutto riprende a funzionare.

Certamente il problema sarebbe stato evitabile se Microsoft avesse testato gli effetti del proprio aggiornamento su Zone Alarm e avesse almeno messo in guardia gli utenti prima di installare la propria patch, ma a quanto pare la cortesia verso gli utenti non si usa più se significa fare un minimo favore a un concorrente.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.