Link alla notizia: http://www.hwupgrade.it/news/sicurezza/microsoft-per-la-falla-di-internet-explorer-un-aggiornamento-straordinario_27506.html

Il problema di sicurezza relativo a Internet Explorer individuato nei giorni scorsi suggerisce a Microsoft il rilascio di un aggiornamento straordinario

Click sul link per visualizzare la notizia.

ottimo tempismo. Complimenti.

se oggi l'exploit è pubblico, è probabile che loro la notizia della vulnerabilità l'abbiano ricevuta in privato molto prima, oppure che l'exploit abbia girato un po' per gente poco raccomandabile in privato.

Se un ricercatore si trova con un exploit in mano ms dovrebbe compensarlo adeguatamente se lo riporta a loro in privato. Almeno più di quanto vale la fama di pubblicarlo subito e l'exploit sul mercato degli spyware e simili.

Il tempismo non è mai ottimo quando c'è l'exploit pubblico.

ottimo tempismo. Complimenti.

ahahhahaha!!!! Ovviamente nelle news riguardanti apple la situazione sarebbe stata letta in un altro modo, vero diabolik? tipo "con quel che costa, OSX è pieno di bug". Mi fate morire... siete assolutamente incoerenti e poi dite pure di essere oggettivi!! Fai pure i complimenti? Forse non hai letto che TUTTE le versioni di explorer hanno questo bug? vuol dire che sono anni che questo problema c'è e si risolve solo adesso! E' questo quello che intendi per tempismo? Poi ovviamente se OSX ha un problema alla calcolatrice (penso sia l'applicazione meno utilizzata in osx dopo l'antivirus) allora quelli della apple sono dei cani... qui si parla di sicurezza della macchina eppure riesci a fare i compliementi alla MS... pensaci un attimo su valà:mc: :mc:

Ciarls, tutto il tuo commento è OT ed è molto da fanboy.

Se leggessi melgio la news capiresti che l'exploit colpisce "esclusivamente Internet Explorer 7"
Però fa capire che siccome sono secoli che programmano così tutti gli intenret explorer, allora tutte le versioni potrebbero essere a rischio. Peccato che non ci siano exploit per le altre versioni di IE.
Poi, se la calcolatrice di MacOSX, che è un programma tremendamente più semplice di IE (ma che cacchio di paragoni fai?) hai dei bachi allora vuol proprio dire non sapere programmare.

vuol dire che sono anni che questo problema c'è e si risolve solo adesso! E' questo quello che intendi per tempismo?

quindi i bug di sicurezza si devono risolvere prima che si scoprano.......interessante ma mi spiegheresti come si fa?.

Speriamo esca nel pomeriggio, se no domattina presto non avrò tanta voglia di spiegare a tutti via mail il perché devono installare sta patch a lavoro.


Ma non si viene sospesi con post tipo quello di ciarls??
Tra l'altro il primo commento credo fosse sarcastico.

Ma non si viene sospesi con post tipo quello di ciarls??
Tra l'altro il primo commento credo fosse sarcastico.

Basta segnalare.

x nenco
puoi forzarla sotto il banco a tutti i PC di dominio con admin

ahahhahaha!!!! Ovviamente nelle news riguardanti apple la situazione sarebbe stata letta in un altro modo, vero diabolik? tipo "con quel che costa, OSX è pieno di bug". Mi fate morire... siete assolutamente incoerenti e poi dite pure di essere oggettivi!! Fai pure i complimenti? Forse non hai letto che TUTTE le versioni di explorer hanno questo bug? vuol dire che sono anni che questo problema c'è e si risolve solo adesso! E' questo quello che intendi per tempismo? Poi ovviamente se OSX ha un problema alla calcolatrice (penso sia l'applicazione meno utilizzata in osx dopo l'antivirus) allora quelli della apple sono dei cani... qui si parla di sicurezza della macchina eppure riesci a fare i compliementi alla MS... pensaci un attimo su valà:mc: :mc:

ottima rosicata complimenti ;)

sarà anche OT, ma sulla sezione apple di commenti come i miei (solo con le parti invertite) se ne leggono a decine su ogni articolo.
L'esempio della calcolatrice riguardava un articolo di un paio di giorni fa, dove appunto si parlava dell'aggiornamento 10.5.6 di osx...Chi l'ha letto sa bene di cosa parlo. Cmq fanboy? perchè? Uno che critica un atteggiamente di un utente win è automaticamente fanboy apple? A me della apple non me ne frega nulla, solo mi da fastidio come certe persone applichino due metri e due misure e poi accusino gli altri di farlo! tutto qui.

e i bug di sicurezza si risolvono quando si scoprono, certo se si scoprono dopo anni non mi puoi venire a parlare di tempismo.

sarà anche OT, ma sulla sezione apple di commenti come i miei (solo con le parti invertite) se ne leggono a decine su ogni articolo.
L'esempio della calcolatrice riguardava un articolo di un paio di giorni fa, dove appunto si parlava dell'aggiornamento 10.5.6 di osx...Chi l'ha letto sa bene di cosa parlo. Cmq fanboy? perchè? Uno che critica un atteggiamente di un utente win è automaticamente fanboy apple? A me della apple non me ne frega nulla, solo mi da fastidio come certe persone applichino due metri e due misure e poi accusino gli altri di farlo! tutto qui.

e i bug di sicurezza si risolvono quando si scoprono, certo se si scoprono dopo anni non mi puoi venire a parlare di tempismo.Stai dicendo cose senza senso.La falla e' stata scoperta circa 5 giorni fa' e dunque di conseguenza la si corregge adesso perche' appunto e' stata scoperta altrimenti non lo si poteva fare.
In tutti questi anni il browser poteva anche avere questa presunta falla ma nessuno lo sapeva e l'aveva scoperta quindi e' come se la falla non fosse mai esistita fino a quando non e' stata scoperta ,ovvero adesso .

Sono cose logiche e mi chiedo come fai a fare questi discorsi

aggiornated!

EDIT: FUUUUUUU non c'è niente negli aggiornamenti :v
EDIT2: a ok entro stasera :v

e i bug di sicurezza si risolvono quando si scoprono, certo se si scoprono dopo anni non mi puoi venire a parlare di tempismo.

Ti rendi conto di avere appena detto una cappellata?
Puoi parlare di tempismo se passa poco tempo da quando viene scoperto il baco a quando viene risolto il problema, ma non puoi iniziare a considerare dalla notte dei tempi...
Comunque sia, la tua affermazione può essere riletta anche in questa chiave, che secondo me è migliore: internet explorer è stato programmato bene se dopo anni che è presente questo bug, è stato scoperto solo ora nonostante la quantità di persone che ha accesso a questo programma.
Altra cosa, non mi pare troppo esatto confrontare IE (browser) con OSX (sistema operativo) o tanto meno con la calcolatrice (programmino semplicissimo).

Ti rendi conto di avere appena detto una cappellata?
Puoi parlare di tempismo se passa poco tempo da quando viene scoperto il baco a quando viene risolto il problema, ma non puoi iniziare a considerare dalla notte dei tempi...
Comunque sia, la tua affermazione può essere riletta anche in questa chiave, che secondo me è migliore: internet explorer è stato programmato bene se dopo anni che è presente questo bug, è stato scoperto solo ora nonostante la quantità di persone che ha accesso a questo programma.
Altra cosa, non mi pare troppo esatto confrontare IE (browser) con OSX (sistema operativo) o tanto meno con la calcolatrice (programmino semplicissimo).


allora forse non mi sono spiegato... OSX e i suoi programmini stupidi non c'entrano con quello che voglio dire. Non voglio comparare i SO e dire che uno è migliore dell'altro. Il mio era un commento all'utente e non al sistema operativo. Ok? che poi explorer sia la migliore applicazione mai programmata da un essere umano non mi interessa, non c'entra assolutamente niente con quello che voglio dire. E per questo non c'entra nemmeno nulla essere un fanboy. Il mio commento non riguardava il mondo dei pc.

allora forse non mi sono spiegato... OSX e i suoi programmini stupidi non c'entrano con quello che voglio dire. Non voglio comparare i SO e dire che uno è migliore dell'altro. Il mio era un commento all'utente e non al sistema operativo. Ok? che poi explorer sia la migliore applicazione mai programmata da un essere umano non mi interessa, non c'entra assolutamente niente con quello che voglio dire. E per questo non c'entra nemmeno nulla essere un fanboy. Il mio commento non riguardava il mondo dei pc.Si ma hai fatto un commento senza senso.IE si sa che e' fallato solo dal momento in cui viene scoperta la falla ,anche se passano 5 anni dalla sua uscita.Se in questi 5 anni nessuno ha scoperto la falla trovata in questi 5 giorni, IE non aveva questa falla fino a 5 gorni fa'

x nenco
puoi forzarla sotto il banco a tutti i PC di dominio con admin

Da AD? Come?

non capisco i fanboy, è normale che un software abbia dei bug, se vengono risolti tempestivamente non vedo dov'è il problema.
alla microsoft non c'è nè da fare i complimenti nè da denigrarla..hanno fatto il loro dovere.
certo che se avessero aspettato il patch day allora si che sarebbero stati da bacchettare.

quindi i bug di sicurezza si devono risolvere prima che si scoprano.......interessante ma mi spiegheresti come si fa?.

no, nessuno parla di risolvere bug prima che vengano scoperti, ma prima che circolino exploit, che è una cosa un attimino diversa..
poi ovviamente se si scopre una falla partendo "dall'avvistamento" dell'exploit e la si risolve in 5 gg non vedo xke si debba gridare allo scandalo, nessuno è perfetto.
diciamo che ms non ha la politica di aggiornamento ottimale, ed è per questo che viene criticata. (aggiornamenti mensili.. forse quando andavi in internet una volta al mese.. anche gli antivirus hanno piu aggiornamenti giornalieri ormai!!)
cmq l'idea di ricompensa pecuniaria a chi riporta la documentazione di nuove falle scoperte potrebbe essere un'ottima idea!

io uso firefox (... e me ne fo**o di ste mega falle exploriane!!!!).
lo consiglio a tutti i miei amici e obbligo i miei parenti a usarlo!!!!

ps: se mi chiamate fanFoxboy non mi offendo!!!:D:D:D:D
ps2: non essendo a senso unico sto valutando anhe chrome...

io uso firefox (... e me ne fo**o di ste mega falle exploriane!!!!).
lo consiglio a tutti i miei amici e obbligo i miei parenti a usarlo!!!!


Eccoti servita una bella dozzina di falle altamente critiche per Firefox 3.0.4 :ciapet: :
http://blogs.zdnet.com/security/?p=2322
The open-source group has rolled out the final security fix for the Firefox 2 branch and a new version of Firefox 3 to plug about a dozen security holes that could lead to remote code execution attacks, browser crashes and information disclosure issues.

no, nessuno parla di risolvere bug prima che vengano scoperti, ma prima che circolino exploit, che è una cosa un attimino diversa..
poi ovviamente se si scopre una falla partendo "dall'avvistamento" dell'exploit e la si risolve in 5 gg non vedo xke si debba gridare allo scandalo, nessuno è perfetto.
diciamo che ms non ha la politica di aggiornamento ottimale, ed è per questo che viene criticata. (aggiornamenti mensili.. forse quando andavi in internet una volta al mese.. anche gli antivirus hanno piu aggiornamenti giornalieri ormai!!)
cmq l'idea di ricompensa pecuniaria a chi riporta la documentazione di nuove falle scoperte potrebbe essere un'ottima idea!se noti negli aggiornament mensili dell'OS gli exploit non si sanno mai prima perche' tenuti privati..

Piu' se noti Microsoft ha la linea di protezione MAPP
http://www.microsoft.com/security/msrc/mapp/overview.mspx

gli exploit sull'Os sono sempre privati e possono uscire solo dopo il rilascio della patch per reverse engineering degli hacker sulle patch scaricabili dal sito microsoft il giorno del rilascio .Quindi chi non aggiorna l'OS al rilascio della patch e' a rischio certamente ..ma non piu' prima

Eccoti servita una bella dozzina di falle altamente critiche per Firefox 3.0.4 :ciapet: :
http://blogs.zdnet.com/security/?p=2322
The open-source group has rolled out the final security fix for the Firefox 2 branch and a new version of Firefox 3 to plug about a dozen security holes that could lead to remote code execution attacks, browser crashes and information disclosure issues.e' gia' uscito Firefox 3.0.5

se noti negli aggiornament mensili dell'OS gli exploit non si sanno mai prima perche' tenuti privati..

Piu' se noti Microsoft ha la linea di protezione MAPP
http://www.microsoft.com/security/msrc/mapp/overview.mspx

gli exploit sull'Os sono sempre privati e possono uscire solo dopo il rilascio della patch per reverse engineering degli hacker sulle patch scaricabili dal sito microsoft il giorno del rilascio .Quindi chi non aggiorna l'OS al rilascio della patch e' a rischio certamente ..ma non piu' prima

cieè fammi capire secondo te gli hacker non trovano gli exploit ma bensì operano solo su reverse engeneering delle patch? :muro: :muro:

cieè fammi capire secondo te gli hacker non trovano gli exploit ma bensì operano solo su reverse engeneering delle patch? :muro: :muro:
postami una lista o delle fonti dove si sono verificati attacchi a delle vulnerabilita' al sistema operativo windows qualche giorno prima del rilascio di una patch il secondo martedi di ogni mese successivo.
Se hai dei link che evincano che ad esempio 15 giorni prima del rilascio delle patch Microsoft di dicembre 2008 per windows , quindi nella seconda meta' di novembre 2008 si sono avuti attacchi e sfruttate le vulnerabilita' patchate da microsoft i primi di dicembre 2008.. e cosi' via per i mesi precedenti

cieè fammi capire secondo te gli hacker non trovano gli exploit ma bensì operano solo su reverse engeneering delle patch? :muro: :muro:

Normalmente gli hacker fanno cosi. E' per questo che la microsoft cerca di unire le patch tutte in un unica uscita mensile per rendere la vita piu difficile agli hacker e piu facile agli amministratori di sistema che devono aggiornare i sistemi.

fare reverse engeneering ormai è diventata un operazione molto facile e veloce. bastano pochi minuti per identificare la porzione di codice affetta dalla falla e da qeusto punto è molto facile per una persona che mastica codice capire cosa hanno modificato.

se fosse come dici tu allora ci sarebbero in giro solo falle 0-day e l'intero sistema di internet sarebbe messo in ginocchio ogni settimana. Perfortuna non è cosi.

i piu grandi attacchi informatici sono stati fatti quasi sempre con il reverse engeneering sulle patch, se ti ricordi nel caso di W32.Slammer mezzi sql al mondo sono stati messi in ginocchio e la patch che risolveva il bug era uscita 6 mesi prima.

Normalmente gli hacker fanno cosi. E' per questo che la microsoft cerca di unire le patch tutte in un unica uscita mensile per rendere la vita piu difficile agli hacker e piu facile agli amministratori di sistema che devono aggiornare i sistemi.

fare reverse engeneering ormai è diventata un operazione molto facile e veloce.

se fosse come dici tu allora ci sarebbero in giro solo falle 0-day e l'intero sistema di internet sarebbe messo in ginocchio ogni settimana. Perfortuna non è cosi.Giusto, e se fosse come dice iFazz sarebbero tutti sempre impestati ogni volta perche' le patch da Microsoft arriverebbero sempre in ritardo :D

mentre cosi' non e'.Chi si impesta tramite vulnerabilita' di sistema e' solo chi non aggiorna l'OS al rilascio delle patch da microsoft

Independentemente dai bollettini di sicurezza, c'è qualcuno che è stato infettato da malware navigando con firefox? Io non ne conosco ancora, mentre conosco gente bucata da IE.
In ogni caso sono curioso, perchè i numeri di vulnerabilità sono simili, ma alle volte nell'open source è considerata come vulnerabilità un DoS o un integer overflow nello heap, mentre nel software commerciale ciò non viene contato come pericolo.

Independentemente dai bollettini di sicurezza, c'è qualcuno che è stato infettato da malware navigando con firefox? Io non ne conosco ancora, mentre conosco gente bucata da IE.
In ogni caso sono curioso, perchè i numeri di vulnerabilità sono simili, ma alle volte nell'open source è considerata come vulnerabilità un DoS o un integer overflow nello heap, mentre nel software commerciale ciò non viene contato come pericolo.

io mi sono stato bucato utilizzando firefox e peraltro sempre aggiornato

"Independentemente dai bollettini di sicurezza", non ti sembra un po strana sta frase, sembra quasi ci siano le falle buone e quelle cattive

se ti senti piu al sicuro allora è un male perche questa sicurezza è la principale cause dei disastri, l'attenzione non deve mai essere abbassata visto che la sicurezza non è una meta ma un processo in continua evoluzione.

io mi sono stato bucato utilizzando firefox e peraltro sempre aggiornato
ci puoi dire i dettagli di questo "bucato" , sfruttando quale vulnerabilita' di Firefox e per fare cosa ,ovvero cosa e' successo ?

ci puoi dire i dettagli di questo "bucato" , sfruttando quale vulnerabilita' di Firefox e per fare cosa ,ovvero cosa e' successo ?

non ti sembra un po difficile da dire? so solo che ho messo 2 giorni per rimettere tutto a posto

non ti sembra un po difficile da dire? so solo che ho messo 2 giorni per rimettere tutto a postose ci dici cosa hai messo a posto si puo capire qualcosa.Se noti da Secunia Firefox non lascia mai aperte vulnerabilita' di remote control conosciute e diffuse in rete ( che sono vulnerabilita' che non consentono di installare malware sull'OS) .Se ti si e' infettato il sistema sara' sucesso perche' hai scaricato ed installato tu qualcosa

Sorry ma anche FFox non è un paradiso come molti ingenui credono.

Fonti ufficiali di Mozilla su falle CRITICHE che vengono trovate ad ogni nuova release, come per tutti i browser: http://www.mozilla.org/security/known-vulnerabilities/firefox30.html

Tra i tanti difetti imputabili a IE7 la Modalità protetta (in Vista, con UAC attivo) è già di per sé una buona garanzia che però non protegge dalla "lettura" di eventuali dati sensibili, ma da scritture/modifiche mai autorizzate.
Anche FFox invidia la Modalità protetta: https://wiki.mozilla.org/Mozilla_2/Protected_mode

Sorry ma anche FFox non è un paradiso come molti ingenui credono.

Fonti ufficiali di Mozilla su falle CRITICHE che vengono trovate ad ogni nuova release, come per tutti i browser: http://www.mozilla.org/security/known-vulnerabilities/firefox30.html

Tra i tanti difetti imputabili a IE7 la Modalità protetta (in Vista, con UAC attivo) è già di per sé una buona garanzia che però non protegge dalla "lettura" di eventuali dati sensibili, ma da scritture/modifiche mai autorizzate.
Anche FFox invidia la Modalità protetta: https://wiki.mozilla.org/Mozilla_2/Protected_modegiusto come dici.Ma controlla anche in quanto tempo Mozilla patcha le vulnerabilita' che ripeto sono solo di controllo remoto sfruttando arbitrary code su opportuni siti web preparati

postami una lista o delle fonti dove si sono verificati attacchi a delle vulnerabilita' al sistema operativo windows qualche giorno prima del rilascio di una patch il secondo martedi di ogni mese successivo.
Se hai dei link che evincano che ad esempio 15 giorni prima del rilascio delle patch Microsoft di dicembre 2008 per windows , quindi nella seconda meta' di novembre 2008 si sono avuti attacchi e sfruttate le vulnerabilita' patchate da microsoft i primi di dicembre 2008.. e cosi' via per i mesi precedenti

guarda fonti cercale da solo di sicuro ce ne sono, un esempio si era parlato di questa famosa vulnerabilità già da un paio di giorni e ci sono in giro già dei PoC che la sfruttano (e da un PoC che ti apre la calcolatrice ad un malware il passo è breve) e la patch ancora non è uscita.

questo per dire che gli exploits ecc ecc non vengono sempre creati solamente dopo aver analizzato la patch rilasciata ma spesso vengono trovati prima e la patch fixa il problema.
ragiona un pò sul fatto che anche solamente un mese fà microsoft ha rilasciato un aggiornamento straordinario senza aspettare l'aggiornamento mensile, secondo te a quale pro avrebbe dovuto farlo?

l'aggiornamento mensile viene fatto per facilitare gli amministratori di rete solo per questo

La mia frase "indipendentemente dai bollettini" voleva proprio dire: senza contare quante vulnerabilità sono marcate Critical o meno o quanto tempo ci vuole per patchare. Quelle sono statistiche sui bollettini e i bollettini non sono tutto nella sicurezza.
Ad esempio un bollettino vago che dichiara un problema come critico ha un certo peso, ma uno che mostra il codice dell'exploit ne ha un altro. Perchè con il secondo anche io posso scaricare il codice e modificarlo un minimo, cominciando subito a bucare la gente per davvero, invece che in teoria.
Poi un bollettino può uscire quando è già da un po' giorni che la vulnerabilità viene sfruttata "in the wild", oppure questo può succedere molto dopo o mai.

Sinceramente non mi frega più molto quanti bollettini ci siano, ma quanti pericoli ed attacchi effettivi sulla rete e ancora di più quanti di questi attacchi vadano a segno.
PS io cmq con firefox su linux mi sento abbastanza sicuro, grazie anche alla compilazione con lo stack protector di gcc.

PS io cmq con firefox su linux mi sento abbastanza sicuro, grazie anche alla compilazione con lo stack protector di gcc.
IE7 in Vista ha il DEP attivabile (lanciando 1 volta IE7 come Admin: Strumenti>Opzioni Internet>Avanzate>Protezione>Attiva la protezione della memoria...) che protegge in parte dai molto comuni buffer overflow e la Modalità protetta che lo rendono, per ora, unico su Win. È abbastanza sicuro con questi accorgimenti.

guarda fonti cercale da solo di sicuro ce ne sono, un esempio si era parlato di questa famosa vulnerabilità già da un paio di giorni e ci sono in giro già dei PoC che la sfruttano (e da un PoC che ti apre la calcolatrice ad un malware il passo è breve) e la patch ancora non è uscita.

questo per dire che gli exploits ecc ecc non vengono sempre creati solamente dopo aver analizzato la patch rilasciata ma spesso vengono trovati prima e la patch fixa il problema.
ragiona un pò sul fatto che anche solamente un mese fà microsoft ha rilasciato un aggiornamento straordinario senza aspettare l'aggiornamento mensile, secondo te a quale pro avrebbe dovuto farlo?

l'aggiornamento mensile viene fatto per facilitare gli amministratori di rete solo per questo
e come vedi se qualcosa sfugge o salta fuori subito dopo il rilascio dei fix mensili , Microsoft fa degli aggiornamenti straordinari entro max 5 giorni dal rilascio delle pacth ufficiali come avvenuto 2 mesi fa'. Non fa passare 1 mese fixando tutto il mese successivo, quando l'expolit e' gia' conosciuto in rete quindi senza aver rilasciato la patch altrimenti ripeto tutti quelli che usano windows e le aziende sarebbero impestate ogni giorno

ho sempre prefetito il firefox a internet explorer!!!!!!!!!! dopo questa lettura gliuro che lo disinstallero definitivamente dal sistema.....

ho sempre prefetito il firefox a internet explorer!!!!!!!!!! dopo questa lettura gliuro che lo disinstallero definitivamente dal sistema.....
Non farti influenzare da quello che leggi ma informati qua':

http://secunia.com/advisories/product/19089/?task=advisories_2008
come vedi si parla chiaro:nessuna falla critica aperta ad oggi.Quella uscita ieri e' stata patchata tempestivamente con firefox 3.0.5.
Firefox si autoaggiorna da solo

no, nessuno parla di risolvere bug prima che vengano scoperti, ma prima che circolino exploit, che è una cosa un attimino diversa..

Chi ha diffuso le informazioni, con PoC allegato, poteva anche verificare l'avvenuta correzione della falla prima, invece che scusarsi dopo dicendo "ma io pensavo l'avessero corretta"! :fagiano:

diciamo che ms non ha la politica di aggiornamento ottimale, ed è per questo che viene criticata. (aggiornamenti mensili.. forse quando andavi in internet una volta al mese.. anche gli antivirus hanno piu aggiornamenti giornalieri ormai!!)

Io gia' mi immagino la scena: strali contro Microsoft perche' rilascia le patch troppo spesso, perche' si deve riavviare, la prova provata che Windows e' una porcheria, ecc. ecc. ecc.! :D

un po di notizie in più

http://www.repubblica.it/2008/11/sezioni/tecnologia/microsoft-7/falla-toppa/falla-toppa.html

un po di notizie in più

http://www.repubblica.it/2008/11/sezioni/tecnologia/microsoft-7/falla-toppa/falla-toppa.html
colpiti 10.000 siti

la prima da cosa da mettere al sicuro non e' il browser ma i siti web che fanno schifo e si fanno iniettare codice malevolo :muro:
mi chiedo a chi sono dati in mano come manutenzione i siti Web :muro:

colpiti 10.000 siti

la prima da cosa da mettere al sicuro non e' il browser ma i siti web che fanno schifo e si fanno iniettare codice malevolo :muro:
mi chiedo a chi sono dati in mano come manutenzione i siti Web :muro:

è quello che ho pensato pure io...ma non erano tutti i server della rete che giravano su Linux e figli?

è quello che ho pensato pure io...ma non erano tutti i server della rete che giravano su Linux e figli?Probabilmente qualcuno ora ti scrivera' che i siti che hanno ceduto a questo contagio e si sono fatti iniettare codice malevolo non sono quelli Linux :D:D

è quello che ho pensato pure io...ma non erano tutti i server della rete che giravano su Linux e figli?

un server linux può comunque veicolare infezioni per windows, tralasciando la stoccatina non esiste un server sicuro tutti prima o poi possono essere violati, è solo una questione di impegno e di tempo.

un server linux configurato in maniera decente ha una buona sicurezza ma principalmente bisognerebbe far capire a chi crea il sito che admin non è una buona password per mysql :D :D

trascurando poi il problema del social engeneering

un server linux può comunque veicolare infezioni per windows, tralasciando la stoccatina non esiste un server sicuro tutti prima o poi possono essere violati, è solo una questione di impegno e di tempo.

io lo so, tu lo sai, il problema sono i fanatici che si leggono qui sul forum che parlano di sicurezza parlando male di prodotto o dell'altro senza sapere che alla fine hanno gli stessi problemi.

C'è però da dire che 10000 siti in 2 giorni vuol dire che di impegno per violare sti server ne serve davvero poco.

htmlun server linux configurato in maniera decente ha una buona sicurezza ma principalmente bisognerebbe far capire a chi crea il sito che admin non è una buona password per mysql :D :D

trascurando poi il problema del social engeneering

concordo al 100%

come sempre, significa che 10000 amministratori di server potevano anche impegnarsi di piu' ;) indipendentemente dal sistema operativo

io lo so, tu lo sai, il problema sono i fanatici che si leggono qui sul forum che parlano di sicurezza parlando male di prodotto o dell'altro senza sapere che alla fine hanno gli stessi problemi.

C'è però da dire che 10000 siti in 2 giorni vuol dire che di impegno per violare sti server ne serve davvero poco.



concordo al 100%

penso che abbiano impiegato + di due giorni, ho paura che la falla sia già conosciuta da un bel pò di giorni nei circuiti underground e sia affiorata solo un paio di giorni fà.

riguardo alla sicurezza, una volta una ditta mi ha chiesto di effettuare un controllo sulla robustezza delle pwd usate dai dipendenti per l'accesso al mainframe dell'azienda (circa 2000 utenti).

con un semplice attacco dizionario al login con un programmino fatto ad hoc i risultati erano stati sconvolgenti: 88% delle pwd trovate e di queste il 70% è stata trovata nei primi 200 tentativi (la top era occupata da "pippo" con 280 utenti che la usavano)

adesso questa ditta usa pwd generate casualmente con scadenza quindicinale e i dipendenti sono abbastanza scocciati

ahahhahaha!!!! Ovviamente nelle news riguardanti apple la situazione sarebbe stata letta in un altro modo, vero diabolik? tipo "con quel che costa, OSX è pieno di bug". Mi fate morire... siete assolutamente incoerenti e poi dite pure di essere oggettivi!! Fai pure i complimenti? Forse non hai letto che TUTTE le versioni di explorer hanno questo bug? vuol dire che sono anni che questo problema c'è e si risolve solo adesso! E' questo quello che intendi per tempismo? Poi ovviamente se OSX ha un problema alla calcolatrice (penso sia l'applicazione meno utilizzata in osx dopo l'antivirus) allora quelli della apple sono dei cani... qui si parla di sicurezza della macchina eppure riesci a fare i compliementi alla MS... pensaci un attimo su valà:mc: :mc:Memoria corta?

BSD UNIX finally fixes a 25-year old software bug

http://www.theinquirer.net/inquirer/news/136/1043136/bsd-unix-finally-fixes-old

He found this bug in all other versions of BSD and BSD derivatives -- such as Mac OS/X -- that he checked.

Memoria corta?

BSD UNIX finally fixes a 25-year old software bug

http://www.theinquirer.net/inquirer/news/136/1043136/bsd-unix-finally-fixes-old

He found this bug in all other versions of BSD and BSD derivatives -- such as Mac OS/X -- that he checked.

no, semplicemente clone di qualche utente sospeso/bannato.

Vista x64 - IE7: Aggiornato!

ma c'è ancora chi usa IE?

io lo uso e mi trovo benissimo...ciao e divertiti invece di chiedere chi usa cosa...;)

io lo uso e mi trovo benissimo...ciao e divertiti invece di chiedere chi usa cosa...;)

infatti :muro:

Scusate ma una cosa del genere bypassa tranquillamente firewall, antivirus, e similari??? Esiste un modo per capire se si è stati oggetto di particoalri "attenzioni" in proposito??

Scusate ma una cosa del genere bypassa tranquillamente firewall, antivirus, e similari??? Esiste un modo per capire se si è stati oggetto di particoalri "attenzioni" in proposito??

se hai un antivirus attivo non hai problemi (sempre che sia aggiornato). Sotto Vista con UAC attivo ti segnala qualcosa che non va con la solita schermata. Sotto Vista x64 che ha il DEP attivo per IE il problema non si verifica.

io uso firefox (... e me ne fo**o di ste mega falle exploriane!!!!).
lo consiglio a tutti i miei amici e obbligo i miei parenti a usarlo!!!!

ps: se mi chiamate fanFoxboy non mi offendo!!!:D:D:D:D
ps2: non essendo a senso unico sto valutando anhe chrome...
Prima di fare sparate da fanboy, vai a leggerti questo:

http://news.swzone.it/swznews-23218.php :rolleyes:

Anche FF & company hanno problemi di sicurezza :read: . Informarsi prima di parlare sarebbe una buona abitudine ;) , e non lo dico da utente IE, xchè non lo uso, faccio la spola tra FF e Opera, a seconda di come mi gira, IE lo uso solo qualche volta :D , mentre Chrome non mi sta' granchè simpatico :Prrr: Ho provato anche Safari e Maxthon2 (che usa il motore di IE) non male, però preferisco sempre FF e Opera. ;)
L'importante è che le falle vengano corrette e in fretta soprattutto, quindi mi pare che in questo caso tutti abbiano fatto bene il loro dovere. ;) :) :D
Byezzzzz ;)

patch installata automaticamente da WU stamattina su Vista SP1. Non ha richiesto il riavvio.

quindi i bug di sicurezza si devono risolvere prima che si scoprano.......interessante ma mi spiegheresti come si fa?.

Mai sentito parlare di test funzionali, prestazionali e di sicurezza?

Linux = navigare

Windows = giocare

risolto il problema...

Mai sentito parlare di test funzionali, prestazionali e di sicurezza?

e pensi siano affidabili al 100%?

Ottimo. Speriamo che continui cosi Microsoft, nonostate il livello galattico di espansione ed utilizzo.

Mai sentito parlare di test funzionali, prestazionali e di sicurezza?

Linux = navigare

Windows = giocare

risolto il problema...

10000 siti Web colpiti ed iniettati in soli 2 giorni

http://blogs.technet.com/feliciano_intini/archive/2008/12/18/ecco-il-bollettino-straordinario-ms08-078-su-ie-ed-alcune-considerazioni-sullo-scenario-di-rischio.aspx
Ribadita l'assoluta "normalità" della tipologia di questa vulnerabilità, come mai si è giunti ad uno scenario di rischio con un numero significativo di siti web infetti, tale da far diventare urgentissima una patch che altrimenti sarebbe stata ordinaria? Risposta: la mancata responsible disclosure (http://blogs.technet.com/feliciano_intini/archive/tags/Responsible_2F00_full+disclosure/default.aspx), e la latitanza della sicurezza a livello applicativo web. Perché si punta il dito solo sulla vulnerabilità lato client, ora corretta, e non si opera alcuna riflessione sulla piaga della miriade di siti web e applicazioni web configurati in modo assolutamente insicuro? (e questi senza riguardo per la piattaforma utilizzata, il problema delle vulnerabilità che espongono ad attacchi di SQL Injection è trasversale: anzi, c'è chi vanta una indiscussa maggiore quota di mercato sui web server, e di certo non è Microsoft IIS e le sue applicazioni...). Perché non si inizia a prendere sul serio il tema della revisione di tutto il codice applicativo, ognuno per la propria responsabilità, non solo di quello Microsoft? :D:D:D

sarà anche OT, ma sulla sezione apple di commenti come i miei (solo con le parti invertite) se ne leggono a decine su ogni articolo.
L'esempio della calcolatrice riguardava un articolo di un paio di giorni fa, dove appunto si parlava dell'aggiornamento 10.5.6 di osx...Chi l'ha letto sa bene di cosa parlo. Cmq fanboy? perchè? Uno che critica un atteggiamente di un utente win è automaticamente fanboy apple? A me della apple non me ne frega nulla, solo mi da fastidio come certe persone applichino due metri e due misure e poi accusino gli altri di farlo! tutto qui.

e i bug di sicurezza si risolvono quando si scoprono, certo se si scoprono dopo anni non mi puoi venire a parlare di tempismo.

Evitiamo i flame inutili. Ammonizione.