Microsoft Patch day luglio: undici bollettini risolvono 49 vulnerabilità

Come parte del suo Patch Day di luglio, Microsoft ha rilasciato 11 bollettini di sicurezza, sei dei quali classificati con livello di gravità Critico e i restanti Importante, per affrontare 49 vulnerabilità nel suo software, tra cui Windows, Office, .NET framework, Microsoft Edge e Internet Explorer. La serie di patch includono, inoltre, un aggiornamento per Adobe Flash Player incorporato in Internet Explorer 10 e 11 su Windows 8 e Internet Explorer 11 ed Edge su Windows 10. Uno dei bollettini chiude una vulnerabilità che potrebbe consentire agli aggressori di bypassare la funzione Secure Boot di Windows se un utente malevolo acquisisce privilegi amministrativi e installa una policy sul sistema.

Microsoft Patch day maggio: sedici bollettini risolvono 37 vulnerabilità

Come parte del suo Patch Day di maggio, Microsoft ha rilasciato 16 bollettini di sicurezza, la metà dei quali classificati con livello di gravità Critico e i restanti Importante, per affrontare 37 vulnerabilità che possono portare all'esecuzione di codice remoto, una partita leggermente più grande rispetto ai 13 emessi nel mese di aprile. I problemi riguardano Microsoft Windows, Microsoft Office, Microsoft Edge e altri prodotti dell'azienda. Il bollettino più critico in Windows Vista risolve una vulnerabilità in JScript e VBScript, mentre una patch si distingue dal resto perché si tratta di una 0-day in Internet Explorer attivamente sfruttata in natura. Di seguito i bollettini sulla sicurezza di maggio in ordine di gravità.

Microsoft Patch day aprile: tredici bollettini chiudono 31 vulnerabilità

Come parte del suo Patch Day di aprile, Microsoft ha rilasciato 13 bollettini di sicurezza, sei dei quali classificati con livello di gravità Critico e i restanti Importante, per affrontare 31 vulnerabilità in Windows, Microsoft Office, Skype for Business, Windows Hyper-V, Internet Explorer e Microsoft Edge. L'aggiornamento include una correzione per il cosiddetto BadLock, difetto rivelato il mese scorso nei file Windows Server e Samba, che consente un attacco di tipo man-in-the-middle (MiTM) Se l'attacco va a buon fine, un malintenzionato può intercettare tutto il traffico DCERPC tra client e server, al fine di rappresentare il client ed ottenere gli stessi privilegi dell'account utente autenticato.

Giubileo a prova di hacker: da ESET un decalogo per navigare sicuri

Il Giubileo della Misericordia è a prova di hacker con i consigli di ESET®. Il primo gennaio 2016 Papa Francesco ha aperto la Porta Santa della quarta e ultima basilica papale, Santa Maria Maggiore. L’8 dicembre 2015 è stata aperta quella di San Pietro, il 13 dicembre a San Giovanni e a San Paolo. Secondo il Censis*, saranno trentatrè milioni i visitatori che arriveranno a Roma nel corso dell’Anno Santo (erano stati 25 milioni per il Grande Giubileo del 2000). Si tratta di uno straordinario flusso di turisti e pellegrini provenienti da tutto il mondo, che faranno un ampio utilizzo dei propri computer e dispositivi mobili nei luoghi di pellegrinaggio, negli hotel e nei principali punti di interesse della città.

Microsoft Patch day novembre: 12 bollettini risolvono 53 vulnerabilità

Come parte del suo Patch Day di novembre, Microsoft ha rilasciato 12 bollettini di sicurezza, quattro dei quali classificati con livello di gravità Critico e i restanti Importante, per affrontare 53 vulnerabilità  in tutte le versioni supportate di Windows e Internet Explorer. Gli amministratori dovrebbero dare la priorità al primo aggiornamento che contiene 25 correzioni per varie versioni di Internet Explorer da IE7 a IE11, con il più grave di questi difetti in grado di permettere agli hacker di ottenere il controllo dei computer degli utenti. Contestualmente, Adobe ha rilasciato un bollettino di sicurezza per risolvere 17 bug in Flash Player. Di seguito i bollettini sulla sicurezza di novembre in ordine di gravità.

Microsoft Patch day agosto: 14 aggiornamenti risolvono 58 problemi

Come parte del suo Patch Day di agosto, Microsoft ha rilasciato 14 bollettini di sicurezza, tre dei quali classificati con livello di gravità Critico e i restanti Importante, per affrontare 58 vulnerabilità in Windows 7 e 8.1, Windows Server, Internet Explorer e Office, tra gli altri. Il Patch Tuesday, contrariamente alle aspettative, è sopravvissuto dopo il rilascio degli aggiornamenti anche per il nuovo sistema operativo Windows 10. Il fatto che il 40% delle correzioni si applicano a Windows 10, rispetto al 60% di quelle applicate a Windows 8 nei primi due mesi di vita, suggerisce che Microsoft ha fatto un lavoro migliore con il nuovo OS.  Di seguito i bollettini sulla sicurezza di agosto in ordine di gravità.

Microsoft Patch day marzo: 14 aggiornamenti tappano 45 vulnerabilità

Come parte del suo Patch Day di marzo, Microsoft ha rilasciato 14 bollettini di sicurezza, cinque dei quali considerati di livello critico e i restanti di livello importante, per affrontare 45 vulnerabilità in Windows, Office ed Exchange, Internet Explorer e una patch per la recente divulgazione dell'attacco Freak. Microsoft ha anche rilasciato un advisory in cui annuncia che è stato aggiunto il supporto per la funzionalità di firma e verifica SHA-2 code a tutte le edizioni supportate di Windows 7 e Windows Server 2008 R2. Le versioni successive dei sistemi operativi desktop, server e RT di Windows già includono il supporto per firma e verifica SHA-2.

Microsoft Patch day febbraio: nove bollettini tappano 56 vulnerabilità

Come parte del suo Patch Day di febbraio, Microsoft ha rilasciato 9 bollettini di sicurezza, tre dei quali considerati di livello critico e sei di livello importante, per affrontare 56 vulnerabilità in Windows, Office, Internet Explorer (IE), e Windows Server. Gli aggiornamenti critici interessano IE e tutte le versioni supportate di Windows: Vista, Seven, Windows 8, 8.1 e RT. I problemi di Windows server riguardano Server 2003, Server 2008, Server 2008 R2, Server 2012 e Server 2012 R2. Tutti gli aggiornamenti critici consento l'esecuzione di codice remoto. Gli aggiornamenti di sicurezza critici riguardano, tra l'altro, le versioni Office 2007, 2010 e 2013.

Vulnerabilità consente furto account Hotmail sottraendo cookie autenticazione

I ricercatori di sicurezza Mohit Kumar e Christy Philip Mathew hanno scoperto che una vulnerabilità di gestione dei cookie consente ai criminali informatici di accedere agli account degli utenti Hotmail e di Outlook. Gli esperti hanno dimostrato che un utente malintenzionato che può accedere ai cookie di autenticazione può semplicemente importarli nel browser utilizzando un componente aggiuntivo "cookie importer" per browser e il cracker sarà automaticamente registrato per conto della sua vittima, quando accede a uno dei servizi Microsoft.

Patch Day, Microsoft rilascia 7 bollettini di sicurezza: tappate 14 vulnerabilità

Dopo il recente aggiornamento di Adobe che ha portato alla correzione di 25 vulnerabilità, come pubblicato nella notifica preventiva dei bollettini di sicurezza, Microsoft ha rilasciato gli aggiornamenti di sicurezza relativi a ottobre 2012. Si tratta di 7 bollettini che contengono i bugfix che vanno a tappare 14 vulnerabilità in diversi prodotti Microsoft, inclusi presenti in Windows, Office, SQL Service e Linq.

Rete a rischio: certificati SSL fasulli, tra questi anche quelli di Facebook

Dopo aver violato la Certification Authority (CA) dell'olandese DigiNotar, hacker iraniani sono riusciti a emettere certificati contraffatti per i domini di CIA, Mossad e MI6. Se inizialmente si parlava di pochi certificati SSL adesso pare che il numero abbia raggiunto quota 531. Tra i certificati fasulli vi sono quelli dei domini di Facebook, Google, Microsoft, Yahoo, Tor, Skype, LogMeIn, Twitter, Mozilla, AOL e WordPress.

Facebook a lavoro per proteggere dal furto dei cookie di sessione

Oltre a spingere per l'HTTPS, Facebook sta lavorando con Google, Yahoo! e Mozilla su una specifica in grado di proteggere i cookie di sessione da furti anche tramite connessioni non crittografate. Chiamata autenticazione di accesso MAC, la specifica è attualmente un progetto Internet Engineering Task Force (IETF) ed è pensato per fornire la verifica di crittografia per alcune porzioni di richieste HTTP. MAC, in questo contesto si riferisce al codice di autenticazione del messaggio, una stringa univoca generata dal client, che consente al server di verificare che la richiesta non sia stata fatta prima.

Falso certificato SSL usato per attacco a utenti di Facebook HTTPS

Electronic Frontier Foundation, organizzazione internazionale non profit di avvocati e legali rivolta alla tutela dei diritti digitali e della libertà di parola nel contesto dell’odierna era digitale, segnala la presenza d'un falso certificato SSL di Facebook, utilizzato per colpire gli utenti che navigano in HTTPS sul social network. L'organizzazione Electronic Frontier Foundation (EFF) mette in guardia da un attacco in esecuzione di tipo man-in-the-middle (MITM), condotto contro gli utenti della versione sicura (HTTPS) di Facebook.