HACKLOG 1x07 - Cos'è una VPN, tipi di VPN e quale VPN scegliere (Tutorial Anonymous Internet Linux)
Microsoft ha rilasciato patch software correzione di una manciata di bug critici nel kernel di Windows, nonché difetti nel sistema di sicurezza Windows Directory Name System e SChannel.
Il fornitore di software valuta i tre bug del kernel di Windows come critici perché potrebbero essere utilizzati per creare codice di attacco che avrebbe eseguito software non autorizzato sul computer di una vittima. I bug di SChannel e DNS hanno la valutazione meno spaventosa di "importante" da parte di Microsoft, il che significa che la società non pensa che sia probabile che vengano usati per prendere il controllo di un PC.
Aggiornamento del kernel di Windows, MS09- 006, dovrebbe essere il primo applicato, secondo Eric Schultze, chief technology officer di Shavlik Technologies. Questo perché "potrebbe consentire a un utente malintenzionato di assumere il controllo completo del tuo computer se visualizzi un sito Web, un'email o un documento contenente un'immagine o un'immagine malvagie", ha affermato via e-mail.
[Ulteriori informazioni: Come rimuovere il malware dal PC Windows]Questo aggiornamento è considerato critico per tutte le versioni di Windows.
Schultze considera anche le quattro vulnerabilità DNS patinate nell'aggiornamento MS09-008 come massima priorità perché potrebbero essere utilizzate in man- attacchi in-the-middle, "per reindirizzare il traffico Internet verso siti Web simili a quelli che sembrano sperare di raccogliere informazioni riservate sugli utenti", ha affermato Schultze. Questo tipo di difetto è stato un problema di massima sicurezza lo scorso anno dopo che il ricercatore della sicurezza Dan Kaminsky ha mostrato come un bug in quasi tutti i software DNS del mondo potesse essere sfruttato in questo tipo di attacco man-in-the-middle.
In realtà, due dei bug del DNS si riferiscono all'attacco di Kaminsky, che risolve i difetti di Windows che potrebbero aiutare un utente malintenzionato a inserire informazioni inaccurate su un server DNS. Entrambi i bug sarebbero difficili da sfruttare in scenari di parole reali, tuttavia, secondo Matt Watchinski, senior director della ricerca sulle vulnerabilità con il fornitore di sicurezza Sourcefire. "Questo è Microsoft che è diligente", ha detto. "Hanno trovato alcuni nuovi modi per fare alcuni di questi [attacchi]".
Watchinski ha convenuto che l'aggiornamento del kernel di Windows dovrebbe essere applicato per primo, dicendo che uno dei bug che corregge è probabilmente più facile da sfruttare rispetto a Microsoft. "Siamo abbastanza fiduciosi che è probabile che il codice di sfruttamento sia coerente", ha affermato.
Microsoft ha anche corretto un errore nel software SChannel utilizzato per creare connessioni SSL (Secure Sockets Layer) su sistemi Windows. Il bug potrebbe consentire a un utente malintenzionato di falsificare un certificato digitale, ha detto Microsoft.
Il SANS Internet Storm Center ha fornito una propria panoramica delle patch di martedì, valutandole tutte critiche.
Come previsto, Microsoft non ha risolto un problema bug pubblicizzato di Excel che è stato recentemente segnalato in un piccolo numero di attacchi molto mirati.
Problemi Oracle Patch fuori-ciclo per difetti
Oracle ha rilasciato una patch di emergenza per un difetto che ha emesso un avviso di sicurezza raro per ultimo settimana.
Microsoft pianifica patch per difetti critici in Word martedì prossimo
Il punto saliente dei sette bollettini previsti per Patch martedì di ottobre è un aggiornamento critico per Microsoft Word.
Lo sviluppatore del software di gioco si sposta per correggere i difetti del gioco del poker
Uno sviluppatore di software di poker prevede di implementare una correzione questa settimana per una vulnerabilità scoperta recentemente da due sistemi di sicurezza ricercatori che hanno analizzato una delle sue applicazioni di gioco.