In questa categoria sono visualizzati i bollettini di sicurezza pubblicati dal CERT-SPC relativi alle vulnerabilità informatiche che interessano la sicurezza delle tecnologie in uso alle pubbliche amministrazioni connesse al Sistema Pubblico di Connettività (SPC). Soltanto le vulnerabilità valutate critiche ed importanti, secondo lo metrica CVSS con valore superirore a 7,5, sono preventivamente segnalate dal servizio di "early warning"; per le altre vulnerabilità il CERT-SPC eroga il servizio informatico alle Amministrazioni che ne fanno espressamente richiesta secondo la procedura condivisa.
Vulnerabilità rilevate
- Vuln: Pligg CMS 'status' Parameter SQL Injection Vulnerability
- Vuln: pidgin-otr 'log_message_cb()' Function Format String Vulnerability
- Vuln: HP OpenVMS Integrity Server Unspecified Local Privilege Escalation Vulnerability
- Vuln: Hewlett-Packard Virtual SAN Appliance 'hydra.exe' Remote Buffer Overflow Vulnerability
- Microsoft Windows TrueType code execution
- Java AtomicReferenceArray Sandbox Evasion and Code Execution
- SAMBA RPC Memory Corruption and Code Execution
- Microsoft Windows ActiveX Control Code Execution
- Adobe Flash Player for Chrome Sandbox Bypass Vulnerabilities
- (1) HIGH: Google Chrome Sandbox Escapes
- (3) HIGH: Mozilla Firefox Use-After-Free Vulnerability
- Bugtraq: H2HC Brazil 9th Edition - Call for Papers
- (2) HIGH: Microsoft Remote Desktop Protocol Vulnerability
- SANSFIRE 2011
- 2.8 Mozilla Firefox/Thunderbird/SeaMonkey "shlwapi.dll" Use-After-Free Memory Corruption
| Mozilla: disponibilità di software correttivo per vecchie versioni di Firefox |
| Lunedì 03 Agosto 2009 17:16 | |||
|
Mozilla ha pubblicato due avvisi di sicurezza, MFSA 2009-42 e MFSA 2009-43, per correggere alcune vulnerabilità che interessano molteplici prodotti Mozilla tra cui Firefox. L'aggiornamento MFSA 2009-42 corregge una vulnerabilità che interessa la gestione dei certificati SSL per i nomi di dominio che contengono valori anomali. E' possibile per un attaccante remoto in grado di sfruttare questa vulnerabilità di ottenere un certificato valido ed intercettare, così, traffico di rete criptato. La versione 3.5 di Firefox non è interessata da questa vulnerabilità. Ulteriori dettagli, l'elenco dei prodotti interessati ed il software correttivo sono disponibili presso la seguente URL:http://www.mozilla.org/security/announce/2009/mfsa2009-42.html
Il secondo aggiornamento, MFSA 2009-43, corregge un vulnerabilità di tipo heap overflow che interessa Firefox, Thunderbird e SeaMonke. La vulnerabilità è relativa sempre alla gestione dei certificati ed in particolare nella gestione delle "regular expressions". Un possibile scenario di attacco vede un attaccante confezionare un regex ad hoc che può utilizzare per eseguire codice arbitrario nel contesto di sicurezza dell'utente che ha avviato l'applicazione vulnerabile. Risultano interessate dall'aggiornamento soltanto le versioni più vecchie di Firefox che utilizzavano sintassi non standard per le regular expression. Nella versione 3.5, invece, Mozilla ha cambiato sintassi che non risulta vulnerabile a questa tipologia di attacco. Ulteriori dettagli, l'elenco dei prodotti interessati ed il software correttivo sono disponibili presso la seguente URL http://www.mozilla.org/security/announce/2009/mfsa2009-43.html
Si raccomanda gli utenti di installare l'ultima versione del browser Mozilla la 3.5.1 e di aggiornarne gli altri prodotti.
|
|||
| Ultimo aggiornamento Lunedì 03 Agosto 2009 17:40 |
Ultimi bollettini
- Microsoft: bollettini di sicurezza per il mese di Novembre 2011
- Microsoft: bollettini di sicurezza per il mese di Ottobre 2011
- Adobe: aggiornamento di sicurezza per flash player
- Allerta vulnerabilità dei sistemi SCADA e PLC
- Adobe: aggiornamento di sicurezza quadrimestrale - settembre 2011
- Microsoft: aggiornamenti di sicurezza per il mese di Settembre 2011
Commenti