Qualche istante fa è stato reso disponibile il download del nuovo aggiornamento 2.8.2 per WordPress. Quando ho visto la notifica non sapevo cosa pensare; questo è il secondo aggiornamento del trunk 2.8 a poco più di 10 giorni dal primo, davvero incredibile. :suprised: Questo aggiornamento svolge il ruolo di minor update e corregge una vulnerabilità di tipo XSS ( Cross-site scripting ). La vulnerabilità era localizzata nel panello di admin dove i link degli autori del commento non erano codificati correttamente. Tale vulnerabilità poteva essere utilizzata per effettuare un redirect ad un altro sito. La notizia della nuova release la trovate a questo post del blog sviluppatori WordPress. Ovviamente è caldamente consigliato l'update della piattaforma via FTP o tramite il comodo aggiornamento automatico. Ricordo che gli utenti Aruba dovranno seguire questa procedura prima di effettuare l'update. Buon aggiornamento 😉 …
Tag: Sicurezza
TrueCrypt è uno dei più famosi software di criptazione "on the fly", questo termine indica il fatto che tutte le informazioni criptate sono immediatamente disponibili dopo aver fornito la chiave per la decriptazione ( una password, ad esempio ). Questo software ci permette in pochi steps di creare un volume, ossia un disco fisso virtuale, criptato, accessibile solo per mezzo di una password. Le applicazioni di questo "volume sicuro" sono innumerevoli, all'interno possiamo memorizzare documenti riservati, archivi password e quant'altro. Praticamente qualsiasi cosa che non deve cadere nelle mani altrui, e ve lo dice uno che usa questo software già da più di un annetto. 😀 TrueCrypt non significa solo questo, nel suo codice sono implementate molte altre funzioni come l'encrypting di intere partizioni fisiche ( come chiavette USB ) o della partizione di sistema in cui si trova il sistema operativo. Ovviamente queste sono soluzioni ad hoc per casi particolari. Inoltre dalla versione 6 è stata introdotta una nuova funzionalità che permette di creare ed eseguire un hidden disk, presente all'interno della partizione principale criptata. Va però detto che è da maniaci criptare la partizione di sistema se poi all'interno non vi è nulla di compromettente, proprio per questo …
A pochi giorni dal rilascio di Firefox 3.5 è stata scoperta una vulnerabilità critica che affligge il noto browser di casa Mozilla su sistemi Windows. L'exploit in questione sfrutta una falla del nuovo interprete JavaScript permettendo l'esecuzione di un codice arbitrario. L'exploit è già stato pubblicato sui più famosi siti di sicurezza, ad esempio Milw0rm. La tipologia della vulnerabilità è il buffer overflow che consente l'esecuzione di un codice, nell'esempio fornito da Milw0rm, l'exploit eseguirà la calcolatrice di Windows ( calc.exe ). Ovviamente tale codice può essere modificato in modo da effettuare operazioni ben diverse dall'avviare la calcolatrice. La vulnerabilità riguarda Tracemonkey, il compilatore Just In Time ( JIT ) per JavaScript, introdotto da Mozilla in quest'ultima versione di Firefox per permettere una navigazione e l'esecuzione di applicazioni web più veloce. La modalità d'attacco dell'exploit è una delle più classiche, l'utente arriva ad una pagina web che apparentemente sembra normale, invece nasconde all'interno il codice per sfruttare la vulnerabilità. Al momento Mozilla lavora per garantire un aggiornamento nel più breve tempo possibile. A tutti gli utilizzatori di Firefox 3.5 si consiglia di effettuare un roleback alla versione 3.0. Oppure in alternativa potete utilizzare questo workaround per disabilitare Tracemonkey. Le operazioni …
Durante la notte del 11 luglio ImageShack, noto servizio di hosting per immagini, è stato hackato dal movimento Anti-Sec ( Anti-Security Movement ). L'hack si è basato su un deface della home page e nella sostituzione di tutte le immagini hostate con il loro manifesto. Inoltre gli stessi hacker hanno usato le email ufficiali di ImageShack per diffondere il loro messaggio a tutti gli iscritti al servizio. Questo è il manifesto diffuso dal movimento Anti-Sec: Riassumendo in poche parole, il movimenti Anti-Sec si oppone accanitamente, e si prefigge lo scopo di eliminare, Full Disclosure. La loro motivazione è molto semplice: non è corretto che i vari exploit, scoperti dalle società di sicurezza, vengano resi pubblici ( per fini economici ). Questo comportamento fa si che chiunque possa copiare gli exploit e utilizzarli per attaccare il bersaglio designato, con relativa facilità. Il manifesto si conclude con una minaccia abbastanza pesante ai possessori di blog e siti legati al mondo della sicurezza: If you own a security blog, an exploit publication website or you distribute any exploit..."you are a target and you will be rm'd ( removed ). Only a matter of time." Thist isn't like before. This time everyone and everything …
Nella giornata di ieri sul sito ufficiale di WordPress è stato pubblicato il comunicato stampa del rilascio della nuova release di WordPress, la 2.8.1. Con questa versione si fa riferimento alla prima versione di mantenimento del trunk 2.8. Nel comunicato è presente una breve sintesi dei cambiamenti introdotti da questa 2.8.1, mentre un changelog completo è disponibile a questo indirizzo. Tra le novità introdotte vediamo la risoluzione della vulnerabilità di sicurezza trattata in questo post, nella giornata di ieri. Tutte le informazioni relative a questa vulnerabilità sono consultabili nell'advisory CORE-2009-0515 pubblicato su Core Security Technologies. Con questa nuova release si pone anche fine al problema di memoria insufficiente durante il caricamento della dashboard. Inoltre è stata disabilita la funzione di colorazione della sintassi (syntax highlighting ) nell'editor dei plugin e dei temi, in quanto incompatibili con diversi browser. Io stesso, con Opera 9.64, avevo notato dei piccoli bug all'interno dell'editor. L'aggiornamento quindi è caldamente consigliato, soprattutto dal punto di vista della sicurezza. Il download è disponibile a questo indirizzo ( per i più smanettoni ). Altrimenti potrete seguire la procedura d'aggiornamento automatica offerta da WordPress, presente nel menù di amministrazione. La versione in italiano seguirà a breve, potete comunque aggiornare …
Per questa notizia vi rimando al post di UpYou.it Blog a questo indirizzo. Vi ricordo che se avete un dominio Aruba, come nel mio caso, la procedura da seguire sarà molti più semplice, dovrete infatti seguire questi semplici passi. Andate nel pannello di amministrazione del vostro sito, solitamente all'indirizzo admin.vostrosito.it, e premete su Protezione Directory Hosting Linux. Selezionate la cartella che volete proteggere nella lista alla sinistra, nel nostro caso wp-admin. Inserite il nome che volete dare all'area protetta, ad esempio: admin, admin area, private area, ecc... Inserire poi username e password. Vi ricordo che queste credenziali dovrebbero essere diversi da quelle usate per effettuare il login su WordPress. Ora la vostra cartella wp-admin sarà protetta 😉 Con questo piccolo workaround i malintenzionati che utilizzeranno una vulnerabilità 0day non potranno accedere alla sezione d'amministrazione, in quanto protetta. Un grazie a Stefano per la segnalazione. …
Ieri, la nota società di sicurezza Symantec, ha rilasciato una segnalazione ( potete trovarla a questo indirizzo ) che coinvolge la sicurezza di Microsoft Office Excel. L'exploit viene inserito all'interno di un file .xls apposito. All'apertura viene eseguito lo shellcode che scarica sul computer due file: uno è un trojan e l'altro è un file Excel vero, utilizzato per non attirare sospetti e maschere l'infezione alla vittima. Trojan.Mdropper.AC, questo è il nome che Symantec ha attribuito a questo trojan. Al momento non è ben noto il comportamento di questo malware e gli esperti di sicurezza stanno ancora cercando di capire cosa faccia. Di certo nulla di buono =D Il problema è stato reso noto anche a Microsoft, stando a questo bollettino Security Advisory 968272. Al momento non sono state rilasciate patch o aggiornamenti per eliminare la minaccia. L'unico modo per avere la certezza di non essere colpiti è prestare molta attenzione ai file con estensione .xls che ci arrivano da mittenti ignoti. Il nuovo formato xlsx non è invece affetto da questa vulnerabilità. …
Il trojan in questione è una variante di iServices, di cui avevo già parlato qua, compare nella crack del noto programma di fotoritocco Adobe Photoshop CS4. Anche in questo caso iServices.B sfrutta l'esecuzione della crack per andare ad installarli nelle cartelle di sistema, più precisamente in /usr/bin/DivX e in /System/Library/StartupItems/DivX. Ovviamente per effettuare l'installazione è necessario concedere i diritti di amministrazione al programma. Il trojan in questione è stato scoperto da Intego, e come nel caso del trojan iServices.A, assicuro che i computer protetti da X4 e X5 non dovrebbero correre rischi. …
Non usiamo il termine software piratato, suona troppo male, diciamo invece software non troppo legale o poco legale :D. iWork è un noto software di produttività di casa Apple ( un po' come la suite Office, anche se sono software diversi ). …
Visto che io sono abbastanza appassionato di Linux, certo di tenermi sempre aggiornato, e guardate qua cosa ho trovato sta volta. La guida spiega come criptare un file, per esempio un file di testo tramite il comando gpg. Buona lettura 😉 …