Il Disinformatico: Flash

Visualizzazione post con etichetta Flash. Mostra tutti i post

2015/07/14

Flash vecchio bloccato automaticamente in Firefox e Chrome; aggiornatelo

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento ore 16:55.

Se vi trovate con Flash bloccato anche se avete quella che vi sembra essere la versione più recente, è perché la vostra versione (la 18.0.0.203) è stata bloccata automaticamente in Firefox poche ore fa.

Aggiornamento (12:00): sul sito di Adobe è disponibile ora la versione 18.0.0.209 di Flash per i principali sistemi operativi.

Aggiornamento (16:55): La versione 209 è scaricabile anche da questa pagina di Adobe.

Se le vostre impostazioni di aggiornamento automatico non hanno ancora reagito, occorre forzarli manualmente scaricando e installando l'aggiornamento. Un fenomeno analogo si sta verificando, stando alle segnalazioni di molti utenti, anche in Google Chrome, che prossimamente introdurrà il “blocco intelligente” degli elementi Flash.

Il primo tipo di blocco è dovuto alle vulnerabilità rivelate dalla fuga di dati da HackingTeam e insieme al secondo è una mazzata per gli inserzionisti pubblicitari che insistono a usare Flash per inserire le pubblicità nei siti e per tutti quelli che hanno costruito siti-vetrina in Flash.

Adobe dice che si sta adoperando per turare le falle del proprio prodotto e che oggi dovrebbe essere pronto un aggiornamento che elimina le vulnerabilità CVE-2015-5122 e 5123, ma dopo oltre una dozzina di aggiornamenti soltanto quest'anno si moltiplicano gli inviti ad abbandonare definitivamente questa tecnologia, sfruttatissima dai criminali informatici anche grazie alla sua onnipresenza.

Già lo aveva fatto Steve Jobs nel 2010; ora uno di questi inviti a mollare Flash viene da Alex Stamos, capo della sicurezza di Facebook, che propone di fissare una data entro la quale tutti i browser bloccheranno Flash. Sembra che quel giorno sia arrivato con un certo anticipo o che questo sia il primo rintocco della campana a morto per questo prodotto colabrodo di Adobe.

Fonti aggiuntive: Ars Technica.

2015/07/12

Due nuove falle Flash emergono dai dati di HackingTeam; meglio disabilitare Flash in attesa di correzioni

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “treomarc*” e “fabiano.bi*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

La diffusione dei dati sottratti a HackingTeam ha permesso di far emergere altre due falle di sicurezza in Adobe Flash che consentono a un aggressore di prendere il controllo del computer del bersaglio semplicemente facendogli visitare un link (una delle tecniche predilette di HackingTeam).

Queste due nuove falle non hanno per ora un aggiornamento correttivo e sono distinte da quella già corretta.

Adobe sta correndo per creare e distribuire l'aggiornamento che corregga queste falle, ma intanto i criminali informatici stanno già sfruttando almeno una di esse, per cui è altamente consigliabile disinstallare, disattivare o perlomeno bloccare l'esecuzione automatica di Flash. Fra l'altro, probabilmente non ne sentirete molto la mancanza; anzi, noterete che molti siti si caricheranno più velocemente perché i contenuti Flash (tipicamente pubblicità) non vengono letti.

Le falle Flash sono etichettate CVE-2015-5122 e -5123 e sono presenti nelle versioni Windows, Linux e OS X del plugin di Adobe. L'azienda che gestisce Flash ha detto che queste nuove falle verranno corrette la prossima settimana. Fino a quel momento, usate più prudenza del solito, anche sui siti di buona reputazione, perché molti attacchi provengono dalle pubblicità Flash, che non sono gestite dai siti stessi ma sono inserite da reti pubblicitarie separate, che vengono prese di mira dai criminali informatici.

Come consueto, le istruzioni per bloccare l'esecuzione automatica di Flash sono qui.

2015/07/09

HackingTeam e quei link a YouPorn: una possibile spiegazione non comica

Questo riepilogo non è disponibile. Fai clic qui per visualizzare il post.

È finita: WikiLeaks pubblica un milione di mail di HackingTeam. Con pratica funzione di ricerca

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/07/11 18:50.

Wikileaks ha messo online un archivio cercabile contenente oltre un milione di mail provenienti dalla fuga di dati che ha colpito HackingTeam.

Se in questi primi giorni le indagini giornalistiche per verificare eventuali collaborazioni dell'azienda italiana con governi repressivi sono state ostacolate dalla difficoltà tecnica di scaricare i 400 gigabyte di dati trafugati o di sfogliarne online le varie parti, ora chiunque può cercare in tutta la corrispondenza di HackingTeam con un semplice clic.

Per esempio, una ricerca di “IP address” insieme a “VPS” rivela molte comunicazioni interessanti e dettagli dell'infrastruttura di sorveglianza di HackingTeam. Una ricerca per “gov.sa” rivela comunicazioni con indirizzi governativi dell'Arabia Saudita, e così via. Altre parole chiave potenzialmente interessanti sono exploit, Eric.rabe, e.rabe, leak e leaker.

Dall'archivio di mail risultano scambi anche recentissimi con i servizi di sicurezza dell'Etiopia, come questa mail del 10 giugno 2015:

David, Giancarlo,tomorrow at midnight the temporary, read-only license we gave to INSA is going to expire. Since we issued this last license. We have not received any reply from them, on any channel.I would wait and see if anything moves on their side, or do you want to anticipate action (e.g., issue a new license)?Thanks,Daniele

E si vede anche il commercio di exploit (vulnerabilità) per Adobe Flash, negoziate da HackingTeam (grazie a @mme_bathory per la segnalazione):

Vitaly ci aveva mandato due exploit gemelli(differente vulnerabilita' ma
stessi target) che aveva accorpato in un unica descrizione... abbiamo
preso uno... prendiamo l'altro?

#1,#2 (two 0days) Adobe Flash Player
versions: 9 and higher
platforms: 32- and 64-bit Windows, 64-bit OS X
price: $45k by three monthly payments

Gli chiederi semplicemente conferma che siano effettivamente due
distinte vulnerabilita' in parti diverse del codice(per evitare che
patchato uno perdiamo pure l'altro).

Senno' c'era anche l'opzione 3 (credo che 32-bit windows vada bene per
browser a 32-bit su architettura x64, da verificare nel caso):

#3 Adobe Flash Player
versions: 11.4 and higher
platforms: 32-bit Windows
payload: calc.exe is launched on Windows
price: $30k by two monthly payments

In pratica HackingTeam sta discutendo l'acquisto di vulnerabilità inedite per Adobe Flash che sono presenti in milioni di computer e invece di renderle pubbliche per consentire a tutti di essere più sicuri se le vorrebbe tenere per sé per usarle nei propri prodotti di sorveglianza. È l'equivalente di scoprire una malattia e tenere per sé la cura per farci dei soldi.

Ma non è il caso di pensare che HackingTeam sia l'unica a fare commerci loschi di questo genere. Un'altra mail di HT fa infatti quest'osservazione a proposito di ditte concorrenti:

Ribadisco l’importanza di prendere contatti: ci saranno un sacco di researchers asiatici e non solo con exploit da vendere e *****, te l’assicuro, compra in questo modo la maggior parte degli exploits che poi, debitamente controllati e ripuliti, vengono venduti a 10 volte il prezzo originario.

[...]

I HAVE strong, incontrovertible EVIDENCE that the most famous 0-day vendors (e.g., *****, *****) do NOT create/find/research the vast majority of the numerous exploits they sell.
According to my intelligence information I can tell you that only about ** 30% ** of the exploits in such famous 0-day vendors' commercial catalogs have been internally researched.
That is, an amazing 70%, of the exploits actually commercially proposed by such exploits vendors are BOUGHT from THIRD PARTIES, then worked out, possibly enhanced, polished and eventually sold to their own clients with hefty profit margins.
When at the conference, I urge you to start building up as many commercial relationships with new exploits researchers and minor/still unknown exploit vendors as possible. We need external resources in order to effectively compete, and win, in the 0-day game.

Così fan tutti, insomma, e allora facciamolo anche noi. Da notare che quella che per noi utenti è un'infezione potenzialmente devastante per loro è un game: un gioco. E a furia di giocare con i virus, se li sono lasciati sfuggire.

2015/07/08

Anche se non v’importa di HackingTeam, i suoi trucchi sono già in mano ai criminali: meglio impostare bene Flash

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “fafiore*” e “m.sabba*”. Se vi piace, potete incoraggiarmi a scrivere ancora.

È importante aggiornare Flash appena possibile, se lo usate, e magari disattivare la sua esecuzione automatica: oggi è una giornata ad alto rischio.

I file recentemente trafugati a HackingTeam contengono infatti un exploit, ossia un attacco, che sfrutta una vulnerabilità finora sconosciuta di Flash, catalogata come CVE-2015-5119 (informativa Adobe; informativa CERT). I criminali informatici sono stati come al solito velocissimi: hanno già integrato l'exploit nei loro attacchi, che hanno effetto su chi ha Flash fino alla versione 18.0.0.194 inclusa. L'attacco richiede semplicemente una visita a un sito Web.

Diffidate degli inviti automatici ad aggiornarvi, potrebbero essere trappole: usate invece le pagine apposite di Adobe per controllare che versione avete e scaricare la più recente, che in questo momento è la 18.0.0.203.

Per gli utenti Mac: stranamente, sul mio Yosemite il plug-in Flash nelle Preferenze di Sistema non rileva automaticamente la disponibilità dell'aggiornamento 18.0.0.203 e bisogna forzare l'aggiornamento andando sul sito di Adobe a scaricarlo.

Già che ci siete, evitate che un sito ostile vi faccia partire Flash a sorpresa: le istruzioni per Firefox, Chrome, Safari e Internet Explorer sono qui.

2015/06/26

Adobe Flash, aggiornamento d’emergenza

Adobe ha rilasciato un ennesimo aggiornamento di sicurezza per Adobe Flash che risolve un difetto che consente agli aggressori di prendere il controllo dei computer Windows, OS X e Linux. Secondo Flash Tester è il dodicesimo dall'inizio dell'anno.

La falla viene già sfruttata dai criminali informatici e quindi se usate Flash non è il caso di rinviare l'installazione dell'aggiornamento.

Come consueto, per sapere se state usando la versione più aggiornata di Flash, visitate la pagina apposita di Adobe con ciascuno dei browser che usate. La versione attuale è la 18.0.0.194, sia per Windows, sia per Mac OS; lo è anche per Linux, a meno che usiate Firefox, nel qual caso è la 11.2.202.468. Per gli utenti di Google Chrome e Internet Explorer l'aggiornamento è automatico; chi ha bisogno di scaricarlo e installarlo manualmente deve andare a questo indirizzo di Adobe.

Come al solito, diffidate degli avvisi che compaiono sullo schermo: possono essere falsi e possono portarvi a siti che fingono di essere quello ufficiale di Adobe e vi convincono a installare un finto aggiornamento che in realtà infetta il computer.

Come ulteriore misura di prudenza, potreste decidere di disinstallare Flash oppure di limitarne l'attivazione automatica, come descritto in questo articolo.

2015/05/13

Aggiornamenti di sicurezza importanti per Windows, Office, Flash Player, Acrobat, Reader

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “giovanni.por*”. Se vi piace, potete incoraggiarmi a scrivere ancora.

Mettete in preventivo un po' di tempo oggi per aggiornare i vostri computer: Microsoft ha rilasciato degli aggiornamenti importanti che tappano una cinquantina di falle di sicurezza in Windows e in altri suoi prodotti (.NET, Office, Silverlight) e Adobe ha fatto altrettanto per chiudere una ventina di vulnerabilità in Flash Player, Air, Reader e Acrobat per Windows, OS X e Linux.

Questi aggiornamenti non sono da trascurare: tre sono stati classificati da Microsoft come “critici”, perché consentono di attaccare il computer senza che l'utente debba fare nulla di speciale. Una delle falle corrette, la MS15-044, permette l'attacco informatico semplicemente convincendo l'utente a visualizzare una pagina Web o un documento appositamente confezionato.

Per quanto riguarda il software Adobe, controllate se avete installato Flash usando questo link in italiano: se l'avete installato, verificate di avere la versione indicata nella tabella mostrata dal link. Se necessario, aggiornatevi facendo attenzione a non installare software indesiderato come per esempio Security Scan di McAfee.

Google Chrome, che include una propria versione di Flash, si aggiorna automaticamente al riavvio; in alternativa potete forzare l'aggiornamento facendo clic sulle tre barrette a destra della casella dell'indirizzo e scegliendo la voce Informazioni su Google Chrome.

Se usate Adobe Reader o Acrobat, procuratevi i rispettivi aggiornamenti. Buon divertimento.

Fonti aggiuntive: Microsoft Technet, Krebs On Security.

2015/04/24

Il malware arriva tramite la pubblicità animata anche nei siti rispettabili. Motivo in più per bloccarla e mollare Flash

Credit: Malwarebytes

Chi va nei bassifondi della Rete sa di cercarsi guai; ma chi visita solo siti rispettabili non si aspetta di trovarsi infettato per il solo fatto di averli consultati. Eppure è successo pochi giorni fa ai visitatori di siti per nulla truffaldini, come per esempio l'Huffington Post: alcune sue pubblicità, infatti, trasportavano codici ostili che tentavano di scaricare sui PC dei visitatori un altro malware che cifrava i dati degli utenti e poi chiedeva un riscatto in denaro per sbloccarli (ransomware).

Era rispettabile il sito; era rispettabile anche il distributore delle pubblicità (DoubleClick di Google); ed era rispettabile anche la marca reclamizzata (Hugo Boss e Hermés Paris). Non c'era nulla che potesse far pensare a una visita pericolosa. Ma l'analisi pubblicata da MalwareBytes segnala che in questa catena di società di buona reputazione s'erano inseriti dei truffatori che avevano aperto un normale account per l'inserimento in tempo reale di pubblicità e lo avevano usato per mandare ai distributori pubblicitari una finta pubblicità il cui codice veicolava un attacco basato su una falla di Adobe Flash che inizialmente non veniva riconosciuta dagli antivirus.

I criminali informatici, insomma, si fanno sempre più furbi, usando i distributori di pubblicità per disseminare i propri attacchi anche sui siti di buona reputazione. La miglior difesa è bloccare le pubblicità e i contenuti basati su Flash, per esempio disinstallando Flash oppure impostandolo in modo restrittivo come descritto in questo articolo.

2015/04/14

Aggiornamenti per Chrome e Flash

Chrome arriva alla versione 42.0.2311.90. L'annuncio ufficiale è qui.

Anche Flash di Adobe viene aggiornato e arriva alla versione 17.0.0.169 (per Mac e Windows). Per verificare che versione avete, cliccate qui; per scaricare l'aggiornamento andate qui.

2015/02/06

Ennesima falla in Flash, attacchi in corso: che fare?

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/03/11 17:20. Link breve: http://tinyurl.com/blocca-flash.

Ieri (2 giugno) è stato pubblicato un altro aggiornamento di Adobe Flash che chiude ben diciotto falle di sicurezza, alcune delle quali permettono ai criminali informatici di prendere il controllo dei computer Windows, OS X e Linux semplicemente convincendo i loro proprietari a visitare un sito appositamente confezionato.

Secondo Adobe, almeno una delle falle chiuse con quest'ultimo aggiornamento viene già sfruttata attivamente: non si tratta quindi di un rischio teorico ma di una minaccia concreta.

Nei giorni scorsi sono stati segnalati attacchi che sfruttano le falle di Flash attraverso le pubblicità presenti in siti popolari come Dailymotion e altri, per cui non si può neanche proporre di ridurre il rischio evitando di visitare siti discutibili o poco conosciuti. Occorre aggiornarsi: per sapere se state usando la versione più aggiornata di Flash, visitate la pagina apposita di Adobe con ciascuno dei browser che usate.

C'è, tuttavia, chi suggerisce di disinstallare completamente Flash dai computer, soprattutto ora che molti dei siti più popolari di Internet funzionano anche senza: è il caso, per esempio, di Youtube, che ora mostra i video senza dover ricorrere al software di Adobe. Molti dispositivi mobili, come gli iPod touch, gli iPhone e gli iPad di Apple, non lo supportano affatto e vivono bene lo stesso.

Un'altra possibilità per ridurre il rischio anche per il futuro è impostare i browser in modo che non lancino Flash automaticamente ma lo facciano soltanto se l'utente lo consente esplicitamente. Per non essere assillati da continue richieste di permesso di lanciare Flash, si possono anche definire siti ritenuti sicuri, nei quali Flash verrà eseguito automaticamente:

– Firefox 39: Strumenti - Componenti aggiuntivi - Plugin; impostate Shockwave Flash a Chiedi prima di attivare. Per abilitare un sito all'avvio automatico di Flash, si visita il sito in questione e si clicca su Attiva e poi su Consenti sempre. Per revocare un'abilitazione, si va in Strumenti - Informazioni sulla pagina - Permessi e si sceglie Utilizza predefiniti (oppure Blocca se lo si vuole bloccare permanentemente).

– Chrome 49.0.x (2016/03): Impostazioni (chrome://settings o l'icona con le tre righe orizzontali in alto a destra) - Mostra impostazioni avanzate (in basso) - Privacy - Impostazioni contenuti - Plug-in - Fammi scegliere quando eseguire i contenuti dei plug-in. La gestione dei siti nei quali si vuole autorizzare l'esecuzione automatica di Flash è accessibile cliccando su Gestisci eccezioni. Chrome chiederà di digitare Ctrl-clic e di scegliere Esegui questo plug-in sui siti non preautorizzati.

– Safari 9.0.3 (2016/03): Preferenze - Sicurezza - Plugin Internet: cliccare su Impostazioni siti web, selezionare Adobe Flash Player e impostare tutti i siti eventualmente elencati a Chiedi; ripetere per il menu a discesa Quando visito altri siti web.

– Internet Explorer 11: Impostazioni (icona dell'ingranaggio in alto a destra) - Gestione componenti aggiuntivi - Mostra: tutti i componenti aggiuntivi - Shockwave - Disabilita.

2015/01/23

Raffica di aggiornamenti: Firefox, Java, Flash

Sono già in corso attacchi che sfruttano le vulnerabilità corrette dagli ultimi aggiornamenti di Firefox (arrivato alla versione 35), Flash e Java, per cui non è il caso di perdere tempo: controllate se avete la versione più recente (qui il test per Flash; qui quello per Java) e se necessario aggiornatevi subito scaricando Flash e Java aggiornati (se ne avete bisogno).

Dato che alcuni di questi attacchi funzionano semplicemente convincendo gli utenti di computer vulnerabili a visualizzare una pagina Web appositamente confezionata, è buona cosa impostare Flash in modo che si attivi soltanto sulle pagine di buona reputazione: in Firefox, per esempio, andate in Strumenti - Componenti aggiuntivi (Add-on) - Plugin e impostate Shockwave Flash e Java a “Chiedi prima di attivare”, mentre in Chrome andate in Impostazioni - Mostra impostazioni avanzate - Privacy - Impostazioni contenuti - Plugin - Blocca per impostazione predefinita. Conviene inoltre usare soluzioni come Adblock per bloccare le pubblicità basate su Flash, che possono veicolare alcuni attacchi in corso non ancora bloccati dagli aggiornamenti.

2014/05/02

Aggiornate Adobe Flash. Di nuovo

Nuovo appuntamento con gli aggiornamenti di sicurezza per chi usa Flash Player: Adobe ha rilasciato un aggiornamento d'emergenza per risolvere una falla che stava permettendo agli aggressori di prendere il controllo dei computer dotati della versione più recente di Flash Player su Windows.

In pratica è sufficiente visualizzare un video o un gioco Flash nel browser per trovarsi infettati o comunque sotto il controllo degli aggressori. Kaspersky ha segnalato che la falla viene usata attivamente, per cui non è il caso d'indugiare. Come al solito, andate al sito di Adobe, scaricate l'originale aggiornato (versione 13.0.0.206 per Windows e Mac OS, 11.2.202.356 per Linux) e non fidatevi di avvisi e inviti che compaiono sullo schermo mentre state navigando altrove: possono essere delle trappole.

Questa falla è separata da quella di Internet Explorer, ma è anch'essa del tipo zero day: in altre parole, anche un utente diligente avrebbe avuto zero giorni di tempo per correggerla prima che venisse utilizzata attivamente dai criminali informatici. Kaspersky sostiene che l'attacco era mirato specificamente per colpire i dissidenti siriani ed era diffuso da un sito dell'attuale governo siriano.

2014/04/28

Usate Internet Explorer con Flash? Male. Usate anche XP? Peggio

C'è una vulnerabilità massiccia in Internet Explorer (tutte le versioni, dalla 6 alla 11) che, se combinata con Adobe Flash (come fanno in molti), consente a un aggressore di eseguire codice a piacere sul computer della vittima. La falla viene già sfruttata attivamente dagli aggressori informatici.

Chi usa Windows XP non riceverà mai nessun aggiornamento correttivo: gli altri lo riceveranno non appena Microsoft lo distribuirà. I dettagli sono su SiamoGeek e nel bollettino di Microsoft.

Questa, per quel che mi risulta, è la prima grande falla che viene resa nota e sfruttata concretamente dopo il termine del supporto di aggiornamento a Windows XP all'inizio di questo mese. Non dite che non eravate stati avvisati.

2014/05/02: Mai dire mai. Microsoft ha cambiato idea e ha incluso anche XP nell'aggiornamento di sicurezza che risolve questa falla.

2014/04/10

Rituale aggiornamento di Adobe Flash

Non so quante volte ho già dovuto aggiornare Flash sui miei computer in questi mesi. Capisco la frustrazione di molti che avrebbero voglia di dichiarare tutti questi aggiornamenti dimostrano che Flash è un colabrodo irreparabile e di abbandonarne l'uso, ma purtroppo sono ancora numerosi i siti che adottano questa tecnologia e quindi rinunciare a Flash significa privarsi dell'accesso a molti siti significativi.

Bisogna insomma rassegnarsi al rituale aggiornamento: la versione nuova è la 13.0.0.182 per Windows e OS X, la 11.2.202.350 per Linux (a parte Chrome, che usa la 13.0.0.182) e la 11.2.202.223 per Solaris.

Come consueto, il test di quale versione avete installata attualmente è presso http://www.adobe.com/it/software/flash/about/ e lo scaricamento è presso http://get.adobe.com/it/flashplayer/.

Visti i brutti momenti che stiamo passando con Heartbleed e compagnia bella, diffidate di eventuali mail o altri messaggi d'invito all'aggiornamento e andate manualmente ai siti indicati qui sopra. I criminali informatici sfruttano questi aggiornamenti per inviare falsi link d'aggiornamento alle vittime.

2014/03/16

Aggiornamento di Flash Player per Mac, Windows, Linux

Adobe ha rilasciato la versione 12.0.0.77 per Mac e Windows di Flash Player e la versione 11.2.202.346 per Linux. Questi aggiornamenti turano falle di sicurezza importanti, come descritto nel bollettino Adobe.

Se usate Flash, controllate se avete già la versione più aggiornata cliccando qui e scaricate l'aggiornamento qui.

Se usate Google Chrome come browser, l'aggiornamento della versione di Flash usata in questo browser è automatico.

2014/02/21

Aggiornamenti urgenti per Flash Player e Internet Explorer 9 e 10; Windows XP sta per scadere

Ci risiamo: è già ora di scaricare e installare un nuovo aggiornamento di sicurezza di Flash Player che tura una falla critica già utilizzata per attacchi informatici in Rete che hanno effetto su Windows, Mac e Linux. L'aggiornamento precedente risale soltanto a due settimane fa. L'avviso ufficiale di Adobe, pubblicato ieri, fornisce tutti i dettagli tecnici.

Per sapere se siete aggiornati, visitate questa pagina di Adobe con il vostro browser (o con ciascuno dei browser che usate): dovreste vedere l'indicazione che avete la versione 12.0.0.70 di Flash (per Linux la versione deve essere la 11.2.202.341). Se vedete un numero differente e inferiore, avete bisogno di aggiornarvi. Se usate Chrome o Internet Explorer 10 e 11, riavviateli e ricontrollate se siete aggiornati: questi due browser, infatti, scaricano automaticamente gli aggiornamenti e hanno solo bisogno di un riavvio per attivarli.

Se usate altri browser, potete scaricare manualmente l'aggiornamento andando alla pagina di download di Adobe e seguire le istruzioni che trovate lì. Dopo che avete installato l'aggiornamento, ricontrollate la situazione visitando di nuovo la pagina di test di Adobe.

Evitate, come sempre, i falsi aggiornamenti: adesso ne circola uno per Android che addirittura si fa pagare per l'aggiornamento, che in realtà è gratuito.

Se usate Internet Explorer 9 o 10, inoltre, c'è un bollettino di sicurezza Microsoft che segnala una falla in queste due versioni del browser. Il consiglio di Microsoft è di aggiornare Internet Explorer (usando Windows Update) e poi scaricare e installare questa correzione temporanea.

Fra l'altro, se siete ancora utenti di Windows XP, tenete presente che tra un mese e mezzo termina il supporto tecnico (Extended Support) da parte di Microsoft. Non ci saranno più aggiornamenti o correzioni di sicurezza: se ci sono falle, ve le tenete. È tempo di passare a un sistema operativo più recente.

2014/02/07

Aggiornate Flash: è pronto un aggiornamento di sicurezza urgente

Adobe ha pubblicato un aggiornamento per il suo diffusissimo Flash Player (visualizzatore usato da moltissimi siti per la grafica e per i giochi) che risolve dei difetti di sicurezza che vengono già sfruttati attivamente dai criminali informatici.

I difetti sono classificati come “critici” da Adobe e possono essere utilizzati con intento ostile semplicemente convincendo la vittima a visitare un sito Web appositamente confezionato.

La vulnerabilità riguarda chiunque usi Flash Player su Windows, OS X e Linux. L'aggiornamento dovrebbe essere automatico: se usate una versione non aggiornata di Flash, dovreste vedere una finestra di dialogo di invito allo scaricamento della nuova versione corretta, che è la 12.0.0.44. Se preferite non aspettare l'invito, andate a http://get.adobe.com/it/flashplayer/ e seguite le istruzioni di scaricamento e installazione. Diffidate, come sempre, di eventuali inviti che dovessero comparire durante la navigazione in siti Web discutibili: spesso sono esche per indurvi a scaricare software ostile.

Per sapere se siete aggiornati, controllate la vostra versione di Flash Player andando a questa pagina del sito di Adobe. Se usate Google Chrome o Internet Explorer 11 come programma di navigazione, Flash si aggiorna automaticamente.

2014/01/17

Aggiornamenti di sicurezza importanti per tutti: Microsoft, Adobe, Java. Fateli subito

Un FALSO aggiornamento di Flash Player

Il rituale aggiornamento mensile di sicurezza targato Microsoft tura falle importanti in Microsoft Office 2003, 2007, 2010 e 2013 e in altri prodotti Microsoft che permettono di attaccare i computer che usano questo software semplicemente convincendo l'utente ad aprire un file Word appositamente confezionato (bollettino MS14-001).

Ci sono aggiornamenti importanti anche per gli utenti di Windows XP, Windows 7, Windows Server 2003 e 2008 R2 (bollettini MS14-002 e MS14-003). Visto che i criminali informatici tipicamente lanciano attacchi che sfruttano le falle segnalate dai bollettini di sicurezza, chi non si aggiorna prontamente rischia di essere preso di mira. Dunque aggiornate subito, se potete: il procedimento dovrebbe essere automatico.

Un aggiornamento vero di Flash Player
alla versione 12 per Mac.

Se usate i prodotti Adobe Reader e Adobe Acrobat per leggere o generare documenti PDF, Adobe AIR o Adobe Flash per vedere le animazioni interattive dei siti Web (e di molti giochi su Facebook), aggiornate subito anche questi software, dato che sono stati rilasciati aggiornamenti per Windows, OS X e Linux che turano falle critiche che permettono a un aggressore di eseguire programmi (presumibilmente ostili) sul computer dell'aggredito. I bollettini sono rispettivamente qui per Flash e qui per Reader e Acrobat. Per sapere se avete la versione più recente di Flash c'è il test ufficiale; l'aggiornamento è scaricabile qui. Attenzione, fra l'altro, ai falsi aggiornamenti di Flash che sono in circolazione su vari siti infettati e sono stati segnalati da F-Secure. Per Reader, invece, la versione più recente è scaricabile da questa pagina del sito di Adobe.

Anche Java è uno dei tanti prodotti Oracle che hanno bisogno un aggiornamento rapido; quello di Java che corregge ben 36 vulnerabilità. Fate il test per sapere se avete già installato l'ultima versione o se vi serve scaricarla e installarla manualmente.

2011/10/25

Falla Flash che accende webcam di nascosto: risolta

Che ci faccio col clickjacking? Accendo le webcam altrui e spio

Il clickjacking è una tecnica che consente di intercettare una cliccata di un utente e dirottarla altrove. Viene usata spesso su Facebook per esempio per far rispondere inavvertitamente gli utenti a un sondaggio sul quale gli organizzatori del clickjacking percepiscono una commissione per ogni sondaggio compilato. L'utente crede di cliccare su un pulsante per vedere un video, partecipare a un giochino o fare qualcos'altro di allettante, ma il suo clic in realtà viene usato per selezionare le risposte del sondaggio, che si trovano in un iframe invisibile.

È l'equivalente informatico di quando si fa firmare un foglio innocuo a qualcuno mettendo però sotto la carta carbone che copia la firma su un documento compromettente. Il termine clickjacking è stato coniato nel 2008 da Hansen e Grossman in questo articolo.

Pochi giorni fa lo studente d'informatica Feross Aboukhadijeh ha creato una demo di clickjacking che non si limitava a rubare il clic per usarlo in un sondaggio, ma accendeva webcam e microfono della vittima senza che a video comparissero avvisi.

Questo effetto era possibile, spiega Feross, perché i clic venivano trasferiti alla pagina delle impostazioni di Flash sul sito di Adobe, attraverso la quale si possono definire i siti autorizzati ad accedere via Flash a webcam e microfono. Lo studente aveva segnalato ad Adobe la vulnerabilità di questa pagina delle impostazioni tempo addietro, ma Adobe ha corretto il problema soltanto dopo che Feross l'ha reso pubblico.

Va chiarito che nonostante le apparenze (e almeno un paio di articoli d'allarme), le impostazioni degli utenti non sono custodite presso il sito di Adobe ma risiedono sul computer di ciascun utente. La pagina delle impostazioni non fa altro che visualizzare le impostazioni presenti nel computer dell'utente.

C'è, ovviamente, un modo molto semplice per bloccare l'attivazione della webcam: coprirla. Ci sono addirittura venditori di mascherine magnetiche apposite. Questa soluzione, però, non blocca il microfono, che specialmente nei laptop potrebbe essere difficile da scollegare o tappare.

Questo articolo è stato aggiornato dopo la pubblicazione iniziale e vi arriva grazie alla gentile donazione di “marziopanc*”.

Cerca nel blog