Le patch sono dedicate ai seguenti prodotti delle svariate famiglie: Windows 7; Windows XP; Vista; Windows Server 2003 e 2008; Windows Server 2008 R2; IE 6, 7 e 8; Office XP Service Pack 3; Office 2003 Service Pack 3; 2007 Microsoft Office System Service Pack 2; Office 2004 e 2008 for Mac; Office Word Viewer; Office Compatibility Pack per Word, Excel e PowerPoint; 2007 File Formats Service Pack 2; Microsoft Works 9; Silverlight 2 e 3.

Consiglio vivamente a tutti di applicare questa patch, anche se doveste già aver applicato il workaround suggerito qualche giorno fa, sempre da Microsoft, su Fix-It!

Sono diverse ed interessanti le novità, che come sempre in queste occasioni partono da una serie di aggiornamenti e fix di sicurezza, ma arrivano fine all’inserimento nel sistema della nuova major release di Safari, il browser proprietario della mela, la 5:

Se volete leggere direttamente dal sito di Apple le novità, potete farlo seguendo questo link, ma ci dispiacerebbe che ci lasciaste soli, periò ecco un riepilogo quanto meno doveroso:

Il nuovo OSX 10.6.4:

* Risolve un problema che portava mouse e tastiera a non rispondere
* Risolve problemi all’apertura di alcune applicazioni Adobe edizione CS2
* Migliora l’affidabilità delle connessioni VPN
* Risolve un problema di riproduzione DVD quando si usano impostazioni di alta qualità
* Risolve un problema di stand-by dello schermo sui nuovi MacBook Pro
* Risolve un problema audio dei nuovi MacBook Pro, che fa suonare l’altoparlante destro più alto del sinistro
* Aumenta la compatibilità con immagini RAW
* Migliora la compatibilità con web-cam USB

ed infine, cosa come detto più importante, include Safari 5.

Concludiamo dicendo che se il vostro sistema non si aggiornasse automaticamente (e se così fosse immaginiamo il motivo…) potete comunque scaricare l’aggiornamento manualmente, da questo link. Chiaramente è consigliabile effettuare un backup preventivo prima di procede, lo suggerisce anche la Apple.

Microsoft Fix it Center Online è rilasciato in versione beta ed è già disponibile per chi lo vorrà provare a questo indirizzo. La promessa che il tool online si propone è ambizioza: riconoscere e correggere bug e anomalie di funzionamento del vostro sistema, proponendovi di intervenire e di risolvere il problema automaticamente.

Al momento, almeno secondo quanto dichiarato da Microsoft, lo strumento è già in grado di identificare e risolvere più di 300 bug relativi al sistema operativo stesso, ai driver di periferica o a programmi vari.

Il funzionamento è semplice: Dopo una scansione del sistema, il tool sarà in grado di fornire un report sui difetti riconosciuti, per poi proporvi, come già accennato, di risolverli al posto vostro, provvedendo ad installare eventuali patch, o a modificare opzioni di Windows non propriamente configurate al meglio e cose del genere. In alternativa, lo strumento può limitarsi a suggerire una serie di azioni che poi l’utente potrà decidere di compiere autonomamente o meno.

Non si tratta tuttavia di uno strumento completamente nuovo: Gli utenti di Windows Seven probabilmente si renderanno conto di aver avuto già a che fare con questa serie di strumenti diagnostici, tuttavia in questa nuova incarnazione il tool di Microsoft può essere usato anche da utenti di Windows XP, Windows Vista e Windows Server 2003, 2008 e 2008 R2.

Vi segnaliamo infine che l’uso del software prevede la creazione di un profilo (la cui creazione fa parte del processo di installazione) sul portale Fix It, che raccoglierà in un database sempre a vostra disposizione i dati sulla vostra configurazione hardware e software di sistema. L’uso di una login permette al sistema di identificarvi e vi consentirà di creare un unico profilo per tutti i PC che vorrete inserirvi.

Divertente poi il commento al fatto che Microsoft, dopo “soli” 17 anni ha corretto una vulnerabilità che ha fatto molto scalpore e di cui molti siti e riviste di settore hanno discusso nelle scorse settimane e che riguardava la virtual machine DOS usata per eseguire alcuni vecchi programmi a 16 bit in modalità compatibile e che poteva essere utilizzata per eseguire codice arbitrario e prendere il controllo del sistema… che dire? Celeri!

Se non fosse che parliamo della multinazionale che domina il mercato mondiale dei software operativi per PC, ci sarebbe da fare i complimenti a Microsoft…

Andiamo a vedere velocemente le 7 patch più importanti, dicendo che riguardano Windows, Internet Explorer, Windows Media Player, Access, Excel e PowerPoint.

La patch più urgente da scaricare sarebbe quella per Access (applicazione per la realizzazione e la gestione di database, parte del pacchetto Office), poiché si è già riscontrato un exploit pubblico che potrebbe trasformarsi in un attacco di massa.

La ulteriori 5 patch a minor livello di importanza invece, riguardano Windows, Outlook Express e Windows Mail, windows Messenger e Word.

Come sempre, questi aggiornamenti saranno scaricabili tramite Windows Update, ma Microsoft ha annunciato che metterà a disposizione degli utenti anche dei singoli pacchetti per effettuare il download e l’installazione manuale delle singole patch.

PREAMBOLO: Cosa sono i DNS.

Domain Name System (abbreviato con l’acronimo DNS) è un servizio utilizzato per la risoluzione di nomi di host in indirizzi IP e viceversa. Il servizio è realizzato tramite un database distribuito, costituito dai server DNS. Questo dice l’inesauribile Wikipedia.
Noi cerchiamo di renderlo comprensibile così: Quando si vuole raggiungere un qualunque sito internet, lo si fa digitando il suo “nome a dominio”, ovvero per esempio per arrivare su questo blog, digiteremmo www.mondowin.com. A questo punto cosa succede? Chi spiega al nostro browser web come arrivare fino al server che ospita il sito? Ecco che entrano in gioco i DNS. In pratica la prima cosa che il nostro browser farà a seguito della digitazione di un indirizzo sull’apposita barra sarà quella di chiedere agli appositi server (che sono espressamente prestabiliti dal nostro provider secondo un sistema di attribuzione che vedremo eventualmente un’altra volta, oppure sono decisi a mano dall’utente, ai fini pratici di questo esempio non fa differenza). Il nostro server DNS contiene al suo interno, per semplificare, una sorta di tabelle di conversione con le quali è in grado di sostituire al nome di dominio ricercato l’indirizzo IP univoco del server. Per tanto, considerando che ogni entità fisica (server o pc che sia) sulla rete ha un suo inririzzo IP unico ed univoco, specie se si tratta di un web server, sarà facile come potrete dedurre arrivare a destinazione. E’ come prendere l’elenco del telefono e leggere l’indirizzo di una persona che stiamo cercando, per poi prendere la macchina e fare il percorso migliore possibile per arrivare fino a casa sua.
Questo dovrebbe spiegare l’estrema importanza del sistema DNS, visto che se il sistema di conversione degli url in IP non funzionasse, non si potrebbe raggiungere di fatto alcun sito, mentre (ed è lo scenario più inquietante) se esso venisse “intercettato e pilotato” permetterebbe a chi ha intenti malevoli (dal semplice spam fino al terrorismo informatico), di dirottare il traffico internet da quella che sarebbe la destinazione voluta dall’utente ad una arbitraria, con tutte le conseguenze che potrete immaginare.
Vi faccio comunque un esempio: Immaginate di digitare sul vostro browser l’indirizzo del sito di home banking del vostro istituto bancario, tipo “www.lamiabanca.qualcosa“, e che qualcuno intercetti la vostra richiesta dirottando il vostro browser verso una destinazione finta che simula il sito reale. Voi senza rendervene conto potreste disgraziatamente inserire i vostri dati d’accesso al conto, che verrebbero così rubati da malintenzionati che poi accederebbero al vostro vero conto e lo potrebbero in pochi click prosciugare! E’ il più classico e nefasto esempio di phishing.

Il bug:

Purtroppo, se è vero che fino a qualche settimana fa il sistema di funzionamento dei DNS pareva immune da bug e vulnerabilità, alcuni esperti sono putroppo dovuti trasalire all’improvviso a seguito di scoperte poco tranquillizzanti. In pratica un team di esperti ha scoperto delle vulnerabilità intrinseche nel meccanismo di funzionamento dei DNS e le ha poi erroneamente rese pubbliche, permettendo quindi attacchi ai sistemi di gestione della risoluzione dei nomi a dominio prima che tutti gli enti coinvolti nella realizzazione di un vasto elenco di patch potesse terminare il proprio lavoro.

La complessità di realizzare un sistema completo di patch è resa enorme dal fatto che i bug non riguardano una specifica piattaforma di un produttore, ma proprio la logica di funzionamento che sta alla base dei DNS, per cui tutte le piattaforme DNS, sia per quanto concerne i client che i server, sono vulnerabili.
Ciò vuol dire che tutti i grandi nomi dell’informatica hanno dovuto correre ai ripari e rilasciare le patch per le proprie architetture, piattaforme e sistemi: Microsoft, Sun, Cisco, Novell sono solo alcune delle aziende che producono hardware e software impattati dal bug e che tramite le loro applicazioni e apparecchiature hanno in mano il destino di tutto il sistema globale.

L’inizio degli attachi al sistema:

Risalirebbe allo scorso giovedì notte il primo tentativo documentato di sfruttare la falla resa nota il 9 luglio prima di tutti dal noto esperto di sicurezza informatica Dan Kaminsky , di cui tuttavia al momento non si conoscono i dettagli. Nelle stesse ore, venivano messi in circolazione i primi esempi di exploit proof-of-concept che tentano di mettere in pratica le teorie dedotte dalle scarne informazioni fornite da Kaminsky stesso.

Il blog di Kaminsky

A questo punto, lo stesso Kaminsky decide di cercare di fare un po di chiarezza sulla vicenda, fin’ora caotica e nebulosa, attraverso le pagine del suo blog, sulle quali scrive: “Prima che questo attacco venisse scoperto, un malintenzionato aveva una possibilità su 65mila di dirottare la vostra connessione ad Internet, ma poteva fare un solo tentativo ogni paio d’ore. Dopo la scoperta dell’attacco, il malintenzionato aveva sempre una su 65mila possibilità, ma poteva provare migliaia di volte al secondo. Dopo la patch, il malintenzionato ha una possibilità su un paio di centinaia di milioni o di miliardi di dirottare la vostra connessione ad Internet, Il che non significa che sia impossibile: potrà sempre provarci migliaia di volte al secondo, ma facendo molto più baccano di prima”. (La traduzione è tratta dall’articolo di Luca Annunziata “DNS Poisoning, dettagli e attacchi“, pubblicato su Punto Informatico il 28 luglio 2008).

Conclusioni

Tutto questo in breve vuol dire che le contromisure adottate fino ad oggi dal momento della scoperta del bug non servono di fatto a risolvere la vulnerabilità. A tutt’oggi, secondo Kaminsky non è più necessario attendere la query al DNS di un utente per tentare di intercettarne le comunicazioni, e con la forza bruta di migliaia di richieste contemporanee (provenienti magari anche da reti di client o da “bot-net” costruite ad-hoc) diverrebbe possibile scardinare un DNS senza che nessuno si accorga di niente o quasi.

Considerazioni

Insomma, c’è da dire che gli esperti di sicurezza delle maggiori compagnie informatiche di tutto il mondo sono tutt’ora al lavoro per scongiurare un pericolo concreto, però la paura che una futura guerra globale possa essere combattuta con armi informatiche e su suolo “virtuale” fa molta più paura di qualche tempo fa, quando tutto questo poteva essere solo la trama di un film. Oggi banche, sistemi previdenziali, aziende e privati di ogni tipo affidano la propria esistenza ai computer. Scardinare le reti mondiali partendo da così basso livello potrebbe dare luogo a conseguenze disastrose.

Che sia giunto il momento di prelevare i propri sudati risparmi per nasconderli sotto al materasso?

[Continua...]

Adobe spiega nel proprio advisory che le falle più gravi possono essere innescate da un file SWF creato ad hoc: quando aperto con una versione vulnerabile di Flash Player, tale file può eseguire del codice maligno con gli stessi privilegi dell’utente locale.
L’update risolve anche una debolezza che, nel recente passato, è stata sfruttata dai cracker per lanciare attacchi di cross-site scripting e infettare migliaia di siti web.

Il suggerimento è quindi di aggiornare il lettore alla versione 9.0.124.0 già disponibile e priva di vulnerabilità.