|
Adobe: disponibilità di software correttivo per Adobe Acrobat e Reader |
|
Mercoledì 14 Aprile 2010 10:40 |
|
Come preventivamente annunciato dal CERT-SPC, Adobe ha rilasciato15 aggiornamenti di sicurezza nell'ambito del programma di rialsco periodico del software correttivo relativo ai seguenti prodotti: Adobe Reader 9.3.1 (e versioni precedenti) per i sistemi Windows, Macintosh e UNIX; Adobe Acrobat 9.3.1 (e versioni precedenti) per i sistemi Windows e Macintosh; Adobe Reader 8.2.1 (e versioni precedenti) e Adobe Acrobat 8.2.1 (incluse le versioni precedenti) per i sistemi Windows e Macintosh. Le vulnerabilità segnalate possono causare alle applicazioni interessate la chiusura inaspettata e possono consentire ad una attaccante remoto di ottnere il controllo del sistema vulnerabile. |
|
Leggi tutto...
|
|
|
Microsoft: aggiornamenti di sicurezza per il mese di Aprile |
|
Mercoledì 14 Aprile 2010 09:17 |
|
Come preventivamente annunaciato dal CERT-SPC, Microsoft ha reso disponibili 10 aggiornamenti di sicurezza nell'ambito del programma mensile di rilascio del software correttivo classificati critic ed importanti. Il CER-SPC di seguito illustra esclusivamente i bollettini considerati critici ed importanti (9). |
|
Leggi tutto...
|
|
Aprile 2010: il mese degli aggiornamenti |
|
Lunedì 12 Aprile 2010 12:03 |
|
Da quando i principali produttori si software hanno deciso di adottare una politica di rilascio programmato degli aggiornamenti di sicurezza, possono verificarsi occorrenze come quella di questa settimana, durante la quale saranno pubblicati gli abituali aggiornamenti mensili di Microsoft (11 bollettini per 25 vulnerabilità), quelli trimestrali di Oracle (correttivi di 47 vulnerabilità) e di Adobe per Acrobat e Reader.
Se da un lato il ricorso a date predeterminate per il rilascio degli aggiornamenti consente anche una pianificazione delle risorse da impiegare per l'installazione delle patch, alcuni controindicazioni si ravvisano nel fatto che ogni tre mesi gli amministratori si trovano a dover gestire un così imponente intervento su sistemi e tecnologie di tale impatto e diffusione nei rispettivi ambienti. Tanto più se si considerano le best practice che impongono test e valutazioni di impatto prima di passare l'aggiornamento ai sistemi in produzione.
Appuntamento, allora, per il 13 Aprile! Nella sezione bollettini sono illustrati gli aggiornamenti di sicurezza sopra annunciati. |
|
Ultimo aggiornamento Mercoledì 14 Aprile 2010 10:40 |
|
Mozilla firefox: disponibilità di software correttivo |
|
Giovedì 01 Aprile 2010 16:59 |
Mozilla fundation ha rilasciato nove aggiornamenti di sicurezza per correggere molteplici vulnerabilità in Firefox, Thunderbird e SeaMonkey. Cinque sono considerate "critiche" mentre soltanto una "elevata" e le restanti tre di "bassa" pericolosità. L'impatto delle vulnerabilità considerate critiche consente ad un attaccante remoto di eseguire codice arbitrario o Javascript nel contesto di sicurezza dell'utente che ha avviato l'applicazione. Per le vulnerabilità segnalate è necessaria l'interazione dell'utente che deve essere indotto dall'attaccante ad aprire una pagina web appositamente predisposta con l'applicazione vulnerabile. Si consiglia gli utenti di aggiornare tempestivamente il software interessato. ulteriori dettagli sono disponibili presso le seguenti URL:.
- http://www.mozilla.org/security/announce/2010/mfsa2010-24.html
- http://www.mozilla.org/security/announce/2010/mfsa2010-23.html
- http://www.mozilla.org/security/announce/2010/mfsa2010-22.html
- http://www.mozilla.org/security/announce/2010/mfsa2010-21.html
- http://www.mozilla.org/security/announce/2010/mfsa2010-20.html
- http://www.mozilla.org/security/announce/2010/mfsa2010-19.html
- http://www.mozilla.org/security/announce/2010/mfsa2010-18.html
- http://www.mozilla.org/security/announce/2010/mfsa2010-17.html
- http://www.mozilla.org/security/announce/2010/mfsa2010-16.html
|
|
Microsoft: aggiornamento straordianario per Internet Explorer |
|
Mercoledì 31 Marzo 2010 09:15 |
|
Come in precedenza annunciato dal CERT-SPC, Microsoft ha revisionato i precedenti bollettini di sicurezza per il mese di Marzo rilasciando un bollettino straordinario (out of band) - ovvero esterno al ciclo di rilascio pianificato degli aggiornamenti di sicurezza - per correggere oltre alla vulnerabilità di tipo "zero day" precedentemente segnalata (CVE-2010-0806), anche altre 9 vulnerabilità che interessano le seguenti versioni di Microsoft Internet Explorer: • Internet Explorer 5.01;
• Internet Explorer 6 Service Pack 1;
• Internet Explorer 7
• Internet Explorer 8 Le vulnerabilità segnalate interessano il processo di allocazione della memoria che può essere alterato da un'attaccante remoto causando un buffer overflow che può consentire l'esecuzione di codice arbitrario e creare condizioni di denial of service. La vulnerabilità CVE-2010-0494, invece, consente un attacco di tipo cross-domain mentre quella identificata dal CVE-2010-0488 consente la compromissione della riservatezza dei dati.
Di seguito l’elenco delle vulnerabilità corrette:
1. Uninitialized Memory Corruption Vulnerability - CVE-2010-0267
2. Post Encoding Information Disclosure Vulnerability - CVE-2010-0488
3. Race Condition Memory Corruption Vulnerability - CVE-2010-0489
4. Uninitialized Memory Corruption Vulnerability - CVE-2010-0490
5. HTML Object Memory Corruption Vulnerability - CVE-2010-0491
6. HTML Object Memory Corruption Vulnerability - CVE-2010-0492
7. HTML Element Cross-Domain Vulnerability - CVE-2010-0494
8. Memory Corruption Vulnerability - CVE-2010-0805
9. Uninitialized Memory Corruption Vulnerability - CVE-2010-0806
10. HTML Rendering Memory Corruption Vulnerability - CVE-2010-0807
Per tutte le vulnerabilità segnalate è necessaria l'interazione dell'utente affinché siano sfruttate con successo da un attaccante. Lo scenario di attacco ipotizzato, pertanto, prevede che l'utente sia indotto a collegarsi ad una pagina web appositamente predisposta dall'attaccante per sfruttare tale vulnerabilità.
Ulteriori dettagli sono disponibili presso la seguenti URL:
|
|
|
OpenSSL: disponibilità di software correttivo (0.9.8n) |
|
Giovedì 25 Marzo 2010 19:05 |
|
OpenSSL ha annunciato, nella giornata odierna, una vulnerabilità di tipo Denial of Service che interessa la versione 0.9.8m (altrimenti nota come 0.9.8f - 0.9.8m). La vulnerabilità è connessa a quella che ha interessato le connessioni TLS già segnalata dal CERT-SPC. La versione 0.9.8n corregge la vulnerabilità indicata. In considerazione del diffuso utilizzo di OpenSSL in molteplici ambienti di sviluppo si consiglia di provvedere ad installare l'aggiornamento o di veridicare la disponibilità di software correttivo dei prodotti che ospitano implementazioni della tecnologia vulnerabile.
Ulteriori informazioni sono disponibili presso le seguebtu URL:
http://www.openssl.org/news/secadv_20100324.txt
http://www.cert-spc.it/index.php/bollettini/notiziari/310-protocollo-ssltls-vulnerabilita-e-prossimo-aggiornamento-di-sicurezza
|
|
Mozilla: ulteriori vulnerabilità coirrette nell'aggiornamento di sicurezza 3.6.2 di Firefox |
|
Giovedì 25 Marzo 2010 17:42 |
|
Mozilla annuncia che la versione 3.6.2 del proprio web brwser Firefox corregge più di una vulnerabilità rispetto a quanto precedentemente illustrato. Risultano ulteriori sette vulnerabilità corrette nell'aggiornamento di sicurezza appena rilasciato. Dall'aggiornamento di sicurezza risulta, inoltre, che altri prodotti sono interessati come Firefox 3.0.18, Thunderbird 3.0.2 e SeaMonkey 2.0.3 con livello di gravità stimato critico ed elevato. Si raccomanda di installare i seguenti aggiornamenti di sicurezza: Livello di pericolosità critico: http://www.mozilla.org/security/announce/2010/mfsa2010-11.html
Livello di pericolosità elevato: http://www.mozilla.org/security/announce/2010/mfsa2010-12.html
Livello di pericolosità critico elevato: http://www.mozilla.org/security/announce/2010/mfsa2010-10.html
Livello di pericolosità moderato: http://www.mozilla.org/security/announce/2010/mfsa2010-13.html
Livello di pericolosità moderato: http://www.mozilla.org/security/announce/2010/mfsa2010-09.html
Livello di pericolosità ridotto: http://www.mozilla.org/security/announce/2010/mfsa2010-14.html
Livello di pericolosità ridotto: http://www.mozilla.org/security/announce/2010/mfsa2010-15.html
|
|
Cisco: disponibilità di software correttivo |
|
Giovedì 25 Marzo 2010 17:38 |
|
Cisco ha rilasciato sette avvisi di sicurezza per correggere molteplici vulnerabilità che interessano IOS che equipaggia router e appliances. Ognuna delle vulnerabilità indicate può consentire ad un attaccante remoto di creare condizioni di denial of service. Si raccomanda, pertanto, di consultare l'elenco dei prodotti Cisco interessati dagli aggiornamenti di sicurezza disponibili al seguente indirizzo: http://www.cisco.com/en/US/products/products_security_advisory09186a0080b20ee1.shtml |
|
|
<< Inizio < Prec. 1 2 3 4 5 6 7 8 9 10 Succ. > Fine >>
|
|
Pagina 5 di 21 |
Sottoscrivi il canale RSS del CERT-SPC