Sono state scoperte  importanti vulnerabilità nei sistemi DNS dovuto a problemi di implementazione  ed a carenze del protocollo DNS stesso che comportano rischi di cache poisoning.

L’annuncio è stato dato ieri e la scoperta è stata fatta da Dan Kaminsky che è stato inoltre in grado di coordinare nella risoluzione del problema tutte le parti coinvolte: Microsoft, Cisco, Sun, Red Hat ecc.

Importante è quindi aggiornare quanto prima tutti gli apparati che utilizzano il protocollo DNS per la loro messa in sicurezza.
In ogni caso le patch sono pronte e vengono distributie in questi giorni tramite gli aggiornamenti automatici.

Di seguito approfondimenti e link utili:

Blog Team TechNet Italia

Doxpara Research (inglese)

Redmond (USA) - Puntuale con il suo tradizionale ciclo mensile di aggiornamenti per la sicurezza, Microsoft ha pubblicato sette bollettini relativi ad un totale di 10 vulnerabilità di sicurezza in Windows, Office, Internet Explorer e DirectX.

Le falle considerate da Microsoft di più seria entità, e classificate come "critiche", sono relative allo stack Bluetooth di Windows XP e Vista (MS08-030), ad Internet Explorer 5, 6 e 7, (MS08-031) e alla tecnologia DirectX 7, 8, 9 e 10 inclusa in tutte le versioni di Windows (MS08-033).
Il rischio comune a tutte queste debolezze è che un aggressore riesca ad approfittarne per eseguire del codice a distanza: nel caso di IE, l'innesco della falla potrebbe avvenire attraverso una pagina web appositamente creata; nel caso di DirectX, il codice maligno potrebbe essere incluso in un file multimediale. Più complesso l'eventuale exploit per la vulnerabilità relativa a Bluetooth, che richiede l'invio, da parte di un aggressore, di un elevato numero di richieste SDP (Service Discover Protocol) verso un PC con Bluetooth attivato e a distanza di rilevamento.

Altri tre bollettini sono classificati come "importanti", e riguardano vulnerabilità nel Windows Internet Name Service (WINS) di Windows 2000 Server e Windows Server 2003 (MS08-034), nel componente Active Directory di Windows 2000 Server, Windows XP Professional, Windows Server 2003 e Windows Server 2008 (MS08-035), e nel protocollo PGM (Pragmatic General Multicast) implementato in tutte le versioni ancora supportate di Windows, dalla XP alla 2008 (MS08-036).
Nel primo caso, un utente malintenzionato locale potrebbe sfruttare il problema per elevare i propri privilegi, negli altri due casi un aggressore potrebbe lanciare attacchi di tipo denial of service volti a impedire al sistema interessato di rispondere alle richieste.

L'ultimo bollettino, l'MS08-032, descrive una falla di rischio moderato relativa all'API del motore di sintesi vocale incluso in tutte le versioni supportate di Windows.
"La vulnerabilità - si spiega nel bollettino - può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer e ha attivato la funzionalità di riconoscimento vocale di Windows". Questo aggiornamento include inoltre un kill bit per il software prodotto da BackWeb.

Il riepilogo in italiano dei bollettini Microsoft di giugno è qui, mentre in questo post SANS Institute ha pubblicato una tabella riassuntiva che cataloga la gravità delle falle in base al tipo di sistema, client o server.
Microsoft non è riuscita ad inserire in questa tornata di aggiornamenti la promessa patch per la cosiddetta carpet bomb, un serio problema di sicurezza generato dall'interazione tra Safari e Windows.

FONTE: http://punto-informatico.it

ROMA. È «infetto» il 23 % dei computer presenti oggi in Italia «e i rischi della Rete Internet sono sempre più spesso determinati dalle modalità di gestione dalle reti di piccole aziende o studi professionali».

È l’allarme lanciato da Maurizio Masciopinto, responsabile delle investigazioni informatiche della Polizia delle Comunicazioni, intervenuto oggi alla prima Settimana nazionale della sicurezza in Rete, iniziativa svoltasi a Roma presso la sede Abi di Palazzo Altieri e patrocinata dal Ministero delle Comunicazioni, ora confluito nel Ministero dello Sviluppo Economico, e promossa dall’Unione Nazionale Consumatori in collaborazione con Polizia Postale e delle Comunicazioni, Abi Lab, SicuramenteWeb, Skuola.Net e l’agenzia giornalistica Agr, con il sostegno di Microsoft.

«I bassi livelli di sicurezza in queste reti -ha aggiunto Masciopinto- utilizzate da piccoli imprenditori o aziende, determina una grande esposizione delle banche dati eventualmente contenute e una possibilità che tali sistemi diventino testa di ponte per gli attacchi informatici. Molto spesso questi stessi imprenditori, che spesso pagano ingenti costi aggiuntivi per un inconsapevole ed illegittimo utilizzo delle loro reti, animati dal desiderio di adempiere alle giuste direttive imposte dall’Autorità che vigila sui dati personali si affidano a pseudo esperti che tali non sono».
A giudizio di Masciopinto, è quindi necessario «elevare i livelli di sicurezza nelle comunicazioni informatiche, perchè i danni sullo sviluppo economico, pur non immediatamente percepibili, sono enormi ed influiscono sempre più sul sistema paese».

«Il Dipartimento della Pubblica Sicurezza su questa tematica è stato lungimirante partendo in anticipo», ha aggiunto Masciopinto, che ha poi sottolineato come la strada intrapresa nell’azione di contrasto sia la stessa tracciata, nello scorso decennio, dal Capo della Polizia Antonio Manganelli nel contrasto alla criminalità organizzata, ovvero quella di importare i migliori modelli investigativi utilizzati all’estero per perfezionarli ed attualizzarli al fine di creare una Polizia di altissima specializzazione nel settore, che oggi è diventata, a sua volta, modello da esportazione.
Il responsabile delle investigazioni della Polizia Postale è sicuro che «influirà molto positivamente sullo sviluppo economico la visione moderna e futurista che si è espressa in questi giorni in Confindustria che contribuirà a portare sempre più sulla Rete l’eccellenza italiana. La soluzione -ha concluso Masciopinto- potrebbe individuarsi in semplici certificazioni sulla ’qualità della sicurezza informaticà per coloro che utilizzano sistemi che sino a poco tempo fa potevano qualificarsi sussidiari ed oggi sono invece considerati essenziali ed indispensabili».

FONTE: lastampa.it