In questa categoria sono visualizzati i bollettini di sicurezza pubblicati dal CERT-SPC relativi alle vulnerabilità informatiche che interessano la sicurezza delle tecnologie in uso alle pubbliche amministrazioni connesse al Sistema Pubblico di Connettività (SPC). Soltanto le vulnerabilità valutate critiche ed importanti, secondo lo metrica CVSS con valore superirore a 7,5, sono preventivamente segnalate dal servizio di "early warning"; per le altre vulnerabilità il CERT-SPC eroga il servizio informatico alle Amministrazioni che ne fanno espressamente richiesta secondo la procedura condivisa.
Vulnerabilità rilevate
- Vuln: Pligg CMS 'status' Parameter SQL Injection Vulnerability
- Vuln: pidgin-otr 'log_message_cb()' Function Format String Vulnerability
- Vuln: HP OpenVMS Integrity Server Unspecified Local Privilege Escalation Vulnerability
- Vuln: Hewlett-Packard Virtual SAN Appliance 'hydra.exe' Remote Buffer Overflow Vulnerability
- Microsoft Windows TrueType code execution
- Java AtomicReferenceArray Sandbox Evasion and Code Execution
- SAMBA RPC Memory Corruption and Code Execution
- Microsoft Windows ActiveX Control Code Execution
- Adobe Flash Player for Chrome Sandbox Bypass Vulnerabilities
- (1) HIGH: Google Chrome Sandbox Escapes
- (3) HIGH: Mozilla Firefox Use-After-Free Vulnerability
- Bugtraq: H2HC Brazil 9th Edition - Call for Papers
- (2) HIGH: Microsoft Remote Desktop Protocol Vulnerability
- SANSFIRE 2011
- 2.8 Mozilla Firefox/Thunderbird/SeaMonkey "shlwapi.dll" Use-After-Free Memory Corruption
| Adobe: vulnerabilità di tipo "zero-day" in Adobe Acrobat e Reader |
| Mercoledì 08 Settembre 2010 22:26 | |||
|
Adobe ha pubblicato un avviso di sicurezza (apsa10-02) per confermare la vulnerabilità CVE-2010-2883 di tipo "zero-day", annunciata dal CERT-SPC nella giornata di ieri, che interessa le versioni 9.3.4 e precedenti di Adobe Acrobat e Reader per tutte le piattaforme supportate. La vulnerabilità classificata con livello di pericolosità critico, secondo la metrica Adobe, è causata da un errore nella gestione di particolari tipi di caratteri tipografici (font TFT) che può alterare il processo di allocazione della memoria in CoolType.dll consentendo ad un attaccante remoto di eseguire codice arbitrario nel contesto di sicurezza dell'utente che ha avviato l'applicazione vulnerabile. Lo scenario di attacco per tale vulnerabilità prevede l'interazione dell'utente che deve essere indotto dall'attaccante a aprire un file PDF appositamente predisposto. Considerata la natura molto comune e diffusa di tale formato di file, si consiglia la massima prudenza nel seguire collegamenti Internet verso risorse in Rete sconosciute o aprire allegati a messaggi di posta elettronica provenienti da fonti sconosciute o dal contenuto sospetto.Attualmente non è ancora disponibile il software correttivo che, secondo quanto indicato da Adobe, verrà rilasciato quanto prima. Il CERT-SPC nelle scorse settimane aveva dato notizia proprio di un aggiornamento straordinario (out of band) da parte di Adobe per correggere una vulnerabilità del medesimo livello di pericolosità di quella segnalata senza attendere l'appuntamento periodico di rilascio del software correttivo. Ulteriori dettagli sono disponibili presso le seguenti URL: http://www.adobe.com/support/security/advisories/apsa10-02.html http://secunia.com/advisories/41340
|
|||
| Ultimo aggiornamento Giovedì 09 Settembre 2010 00:08 |
Ultimi bollettini
- Microsoft: bollettini di sicurezza per il mese di Novembre 2011
- Microsoft: bollettini di sicurezza per il mese di Ottobre 2011
- Adobe: aggiornamento di sicurezza per flash player
- Allerta vulnerabilità dei sistemi SCADA e PLC
- Adobe: aggiornamento di sicurezza quadrimestrale - settembre 2011
- Microsoft: aggiornamenti di sicurezza per il mese di Settembre 2011
Commenti