Ricevo e ripubblico con piacere l’annuncio ufficiale del rilascio della versione 7.5 di LibreOffice, che ho appena scaricato e installato (dopo aver fatto una donazione alla Document Foundation). Uso LibreOffice sin dalle sue primissime versioni per quasi tutto il mio lavoro. Funziona, garantisce l’indipendenza dei miei documenti, e provarlo non costa nulla.

Berlino, 2 febbraio 2023 – LibreOffice 7.5 Community, la nuova major release della suite per ufficio per la produttività desktop libera e open source, supportata da volontari, è immediatamente disponibile all'indirizzo https://www.libreoffice.org/download per Windows (processori Intel/AMD e ARM), macOS (processori Apple e Intel), e Linux.

Le novità più significative

GENERALI

• Importanti miglioramenti al supporto del dark mode
• Nuove icone per le applicazioni e i tipi MIME, più colorate e vivaci.
• Lo Start Centre può filtrare i documenti per tipo
• È stata implementata una versione migliore dell'interfaccia utente Single Toolbar
• Esportazione PDF migliorata con diverse correzioni e nuove opzioni e funzionalità
• Supporto per l'embedding dei font su macOS
• Miglioramenti alla finestra di dialogo Font Features con diverse nuove opzioni
• Aggiunta di un cursore di zoom in basso a destra nell'editor delle macro

WRITER

• I segnalibri sono stati notevolmente migliorati e sono anche molto più visibili
• Gli oggetti possono essere definiti come decorativi, per una migliore accessibilità
• Sono state aggiunte nuove tipologie di controlli di contenuto, che migliorano anche la qualità dei moduli PDF
• Nel menu Strumenti è stata aggiunta una nuova opzione di controllo automatico dell'accessibilità
• È disponibile una prima versione di traduzione automatica, basata sulle API di DeepL translate
• Diversi miglioramenti al controllo ortografico

CALC

• Le tabelle di dati sono ora supportate nei grafici
• Il Function Wizard adesso consente di effettuare la ricerca per descrizioni
• Sono stati aggiunti i formati numerici "compitati"
• Le condizioni di formattazione condizionale sono ora insensibili alle maiuscole e alle minuscole
• Comportamento corretto quando si inseriscono numeri con un singolo prefisso (')

IMPRESS & DRAW

• Nuovo set di stili di tabella predefiniti e creazione di stili di tabella
• Gli stili delle tabelle possono essere personalizzati, salvati come elementi master ed esportati
• Gli oggetti possono essere trascinati e rilasciati nel navigatore
• È ora possibile ritagliare i video inseriti nella diapositiva e riprodurli ugualmente
• La console del presentatore può essere eseguita anche come finestra normale invece che a schermo intero.

Un video che riassume le principali novità di LibreOffice 7.5 Community è disponibile su YouTube: https://www.youtube.com/watch?v=ZlAmjIwUvs4 e PeerTube: https://peertube.opencloud.lu/w/of24ezgA4ytWDpHWevGPiF. 

Una descrizione di tutte le nuove funzionalità è disponibile nelle Note di rilascio [1].

Interoperabilità con Microsoft Office

Basato sulle specifiche caratteristiche della piattaforma tecnologica LibreOffice per la produttività personale su desktop, dispositivi mobili e cloud, LibreOffice 7.5 offre un gran numero di miglioramenti e nuove funzionalità rivolte agli utenti che condividono documenti con MS Office o che stanno migrando da MS Office. Questi utenti dovrebbero controllare regolarmente le nuove versioni di LibreOffice, poiché i progressi sono così rapidi che ogni nuova versione migliora sensibilmente la precedente.

LibreOffice offre il più alto livello di compatibilità nel segmento di mercato delle suite per ufficio, con il supporto nativo per l'OpenDocument Format (ODF) – che batte i formati proprietari per sicurezza e robustezza – e il supporto per i file MS Office, oltre ai filtri per un gran numero di formati di documenti legacy, per restituire la proprietà e il controllo dei contenuti agli utenti.

I file Microsoft sono ancora basati sul formato proprietario deprecato da ISO nel 2008 e non sullo standard approvato dalla stessa ISO, per cui sono artificialmente e inutilmente complessi (anche se tutto questo viene nascosto all'utente). Questo causa problemi di gestione a LibreOffice, che utilizza per default un vero formato standard aperto (OpenDocument Format).

Chi ha contribuito a rilascio di LibreOffice 7.5

Le nuove funzionalità di LibreOffice 7.5 Community sono state sviluppate da 144 membri della comunità: il 63% dei commit di codice proviene dai 47 sviluppatori impiegati da tre aziende che fanno parte dell'Advisory Board di TDF – Collabora, Red Hat e allotropia – o da altre organizzazioni, il 12% dai 6 sviluppatori di The Document Foundation, e il restante 25% da 91 volontari indipendenti.

Inoltre, 112 volontari – in rappresentanza di centinaia di traduttori volontari – hanno fornito localizzazioni in 158 lingue. LibreOffice 7.5 Community viene rilasciato in 120 versioni linguistiche diverse, più di ogni altro software libero o proprietario, e come tale può essere utilizzato nella lingua madre (L1) da oltre 5,4 miliardi di persone nel mondo. Inoltre, oltre 2,3 miliardi di persone parlano una di queste 120 lingue come seconda lingua (L2).

LibreOffice per le imprese

Per le implementazioni di livello aziendale, TDF raccomanda la famiglia di applicazioni LibreOffice Enterprise fornite dalle aziende dell'ecosistema - per desktop, mobile e cloud - con un gran numero di specifiche funzionalità a valore aggiunto e altri vantaggi come gli SLA (Service Level Agreement): https://www.libreoffice.org/download/libreoffice-in-business/.

Ogni riga di codice sviluppata dalle aziende dell'ecosistema per i propri clienti enterprise viene condivisa con la comunità sul repository principale del codice sorgente, e contribuisce a migliorare la piattaforma LibreOffice Technology.

I prodotti basati sulla tecnologia LibreOffice sono disponibili per i principali sistemi operativi desktop (Windows, macOS, Linux e Chrome OS), per le piattaforme mobili (Android e iOS) e per il cloud.

Migrazioni a LibreOffice

La Document Foundation ha sviluppato un Protocollo di migrazione per supportare le imprese che passano dalle suite per ufficio proprietarie a LibreOffice, che si basa sulla distribuzione di una versione LTS della famiglia LibreOffice Enterprise, oltre alla consulenza e alla formazione per la migrazione fornita da professionisti certificati che offrono soluzioni a valore aggiunto in linea con le offerte proprietarie. Riferimento: https://www.libreoffice.org/get-help/professional-support/.

Infatti, LibreOffice - grazie alla maturità del codice sorgente, al ricco set di funzionalità, al forte supporto per gli standard aperti, all'eccellente compatibilità e alle opzioni LTS di partner certificati - è la soluzione ideale per le aziende che vogliono riprendere il controllo dei propri dati e liberarsi dal vendor lock-in.

Disponibilità di LibreOffice 7.5 Community

LibreOffice 7.5 Community è disponibile all'indirizzo: https://www.libreoffice.org/download/. I requisiti minimi per i sistemi operativi proprietari sono Microsoft Windows 7 SP1 e Apple macOS 10.12. I prodotti basati sulla tecnologia LibreOffice per Android e iOS sono elencati qui: https://www.libreoffice.org/download/android-and-ios/.

Per gli utenti che non hanno bisogno delle funzioni più recenti e preferiscono una versione che è stata sottoposta a un maggior numero di test e di correzioni di bug, The Document Foundation mantiene la famiglia LibreOffice 7.4 family, che include alcuni mesi di backporting delle correzioni. La versione corrente è  LibreOffice 7.4.5.

La Document Foundation non fornisce supporto tecnico agli utenti, anche se questi possono ottenerlo dai volontari delle mailing list degli utenti e dal sito web Ask LibreOffice: https://ask.libreoffice.org

Gli utenti di LibreOffice, i sostenitori del software libero e i membri della comunità possono sostenere The Document Foundation con una donazione su https://www.libreoffice.org/donate.

[1] Note di Rilascio: https://wiki.documentfoundation.org/ReleaseNotes/7.5

Press Kit

Link: https://nextcloud.documentfoundation.org/s/C9aDx4rka6HeDb6

Questo articolo è disponibile anche in versione podcast audio.

Con tempismo perfetto per Halloween arriva un avviso di sicurezza per le lampadine smart di IKEA, che hanno due vulnerabilità (CVE-2022-39064 e CVE-2022-39065) sfruttabili per farle sfarfallare come se fossero infestate o provenissero da una delle case della serie Stranger Things.

Jonathan Knudsen, del Synopsys Cybersecurity Research Center, ha scoperto infatti che le lampadine Tradfri e il loro gateway o dispositivo di controllo possono essere indotte a fare un reset semplicemente mandando loro un segnale radio apposito (tecnicamente, se ci tenete a saperlo, si chiama frame Zigbee malformato).

Una volta resettate, le lampadine restano tutte accese al massimo della luminosità e l’utente non riesce più a comandarle, né con l’app né con il telecomando apposito. Per riprenderne il controllo, l’utente deve riaggiungere manualmente alla propria rete domestica ciascuna lampadina. Ma siccome non esiste un aggiornamento correttivo completo, l’aggressore può ripetere l’attacco tutte le volte che vuole, usando semplicemente un laptop e un radiotrasmettitore che costa una trentina di euro o franchi e può agire anche da un centinaio di metri di distanza.

IKEA è stata avvisata delle falle e ha messo a disposizione un aggiornamento parziale, che conviene sicuramente installare, ma la vulnerabilità in questo caso deriva dalla natura stessa del sistema di trasmissione e di comando utilizzato, chiamato Zigbee, e quindi non è completamente rimediabile.

Un attacco di questo genere non comporta fughe di dati, ma può essere comunque un fastidio notevolissimo. Se avete queste lampadine smart e vedete che sfarfallano o lampeggiano e non rispondono ai comandi, i casi sono due: o avete un vicino informaticamente dispettoso, oppure qualcuno sta cercando di comunicare con voi dal Sottosopra.

Fonte aggiuntiva: The Register.

Il 27 settembre scorso è stato rilasciato un aggiornamento di sicurezza molto importante per WhatsApp per Android e iOS, che va installato appena possibile, perché chiude due falle estremamente gravi che permettono a un aggressore di prendere il controllo degli smartphone semplicemente avviando una videochiamata oppure inviando alle vittime un video appositamente alterato.

Le falle sono identificate formalmente con le sigle CVE-2022-36934 e CVE-2022-27492. La prima è presente in WhatsApp normale e in WhatsApp Business per Android e per iOS nelle versioni prima della 2.22.16.12; la seconda è presente in Whatsapp per Android nelle versioni prima della 2.22.16.2 e in WhatsApp per iOS nelle versioni prima della 2.22.15.9. 

Se vi perdete nei numeri di versione, nessun problema: è sufficiente che aggiorniate WhatsApp alla versione più recente disponibile su Google Play su App Store.

Per gli amanti dei dettagli, la prima falla è un classico integer overflow, ossia una situazione in cui un valore intero usato nell’app diventa troppo grande per lo spazio che gli è stato assegnato, un po’ come quando occorre compilare un formulario e le caselle a disposizione non bastano per immettere il numero che bisogna scrivere. Questo produce un errore di calcolo, e se il risultato di quel calcolo viene usato per controllare il comportamento dell’app, l’errore può portare a problemi di sicurezza.

La seconda falla è invece l’esatto contrario, vale a dire un integer underflow, un errore nel quale un calcolo produce un risultato troppo piccolo, per esempio una sottrazione di un numero grande da un numero più piccolo che produce un valore negativo in una situazione nella quale i valori negativi non sono previsti.

Se pensate che questo tipo di falla sia troppo esotico per essere sfruttato, tenete presente che una vulnerabilità analoga che c’era nelle chiamate vocali di WhatsApp è stata utilizzata nel 2019 da una società che produce software spia, NSO Group, per iniettare un suo programma di sorveglianza nascosta, denominato Pegasus, negli smartphone di bersagli politici, docenti, avvocati e collaboratori di organizzazioni non governative.

Fonte aggiuntiva: The Hacker News.

Questo articolo è disponibile anche in versione podcast audio.

Il 12 settembre scorso Apple ha rilasciato la nuova versione, la 16, dei suoi sistemi operativi per smartphone, smartwatch e Apple TV, con molte novità significative, come la nuova schermata di blocco, e alcuni aggiornamenti di sicurezza. Ma la particolarità più interessante è che ha rilasciato gli stessi update di sicurezza anche per le versioni meno recenti di questi sistemi operativi, cosa che non capita spesso.

Sono stati infatti messi a disposizione degli aggiornamenti per gli iPhone e iPad meno recenti, che li portano alla versione 15.7 di iOS e di iPadOS, e anche per i Mac vecchiotti, che li portano alla versione Monterey 12.6 oppure alla Big Sur 11.7. 

In questo modo chi usa ancora dispositivi che hanno qualche annetto sulle spalle e non sono più aggiornabili alle nuove versioni di punta di iOS e iPadOS, come l’iPhone 6S e l’iPhone 7, può restare comunque protetto. 

La stessa protezione è offerta anche a chi ha dispositivi ancora aggiornabili ma per qualunque ragione, per esempio la compatibilità con app aziendali, non può o non vuole passare ai nuovi sistemi operativi con tutte le loro novità. 

Le falle di sicurezza corrette da questi aggiornamenti sono piuttosto pesanti, tanto da spingere appunto Apple a distribuire aggiornamenti anche per le vecchie versioni dei suoi sistemi operativi, perché almeno una di queste falle viene già usata dai criminali informatici per compiere attacchi, per cui è essenziale andare appena possibile nelle impostazioni del dispositivo e avviare la sua procedura di aggiornamento software. 

Gli smartphone e tablet Apple che non possono più ricevere aggiornamenti di nessun genere non dovrebbero essere usati per navigare nel Web, mandare mail o per qualunque altra attività che richieda un collegamento a Internet.

---

La casa produttrice ha infatti diffuso un annuncio nel quale segnala che sta circolando un ransomware, denominato Deadbolt (che inglese vuol dire “catenaccio”), che cifra tutti i dati presenti sui NAS collegati direttamente a Internet e agisce sfruttando una falla nell’app di gestione delle immagini di questi dispositivi, chiamata Photo Station.

Molti utenti che comprano questi dischi di rete li usano per archiviare le foto di famiglia e li rendono accessibili via Internet per consentire di condividere le immagini con parenti e amici e per poterle consultare da remoto. Un attacco ransomware a questi dispositivi diventa quindi un disastro per le vittime, perché nessuno è disposto a perdere tutte le proprie foto di famiglia e quindi il pagamento del riscatto per riaverle è quasi certo.

QNAP sollecita urgentemente tutti gli utenti di NAS ad aggiornare Photo Station alla versione più recente, oppure a passare a QuMagie, che è un’alternativa a Photo Station. La casa produttrice è altrettanto perentoria nel raccomandare di non collegare direttamente a Internet i propri prodotti, ma di farlo solo tramite la funzione cloud apposita oppure tramite VPN.

Molti utenti di questi dispositivi si sentono al sicuro perché pensano che sia impossibile per gli aggressori scoprire che hanno un NAS affacciato a Internet, ma in realtà è facilissimo farlo grazie agli appositi motori di ricerca come Shodan.io.

Attacchi di questo genere sono quindi estremamente diffusi e quindi non vanno sottovalutati: la Censys ha contato oltre 20.000 dispositivi infetti, e l’Italia, con oltre 4400 infezioni, è al terzo posto fra i paesi maggiormente colpiti, dopo Stati Uniti (con 8.500) e Germania (con 5.700). La Svizzera si piazza comunque abbastanza in alto in questa classifica, con oltre 1600 NAS colpiti [la raffica di attacchi in Svizzera mi è stata confermata direttamente anche da colleghi].

La spavalderia dei criminali, fra l’altro, non conosce limiti: i gestori del ransomware Deadbolt includono nelle loro schermate di avviso un’offerta rivolta alla casa produttrice, proponendole di acquistare da loro la chiave di sblocco universale del ransomware, che QNAP potrebbe poi dare agli utenti colpiti dall’attacco. Finora non risulta che l’azienda abbia ceduto al ricatto.

Se avete uno di questi dispositivi, insomma, seguite appena possibile le istruzioni del fabbricante, proteggeteli e aggiornateli.

Fonti aggiuntive: Ars Technica, Intego, Ars Technica, Graham Cluley.

Questo articolo è disponibile anche in versione podcast audio.

Se usate Zoom su un computer Apple, aggiornatelo. E se l’avete appena aggiornato, fatelo di nuovo. Lo so, la sicurezza informatica a volte sa essere esasperante. Al recente raduno di esperti di sicurezza informatica Def Con, uno di questi esperti, Patrick Wardle, ha dimostrato una falla del sistema di aggiornamento automatico di Zoom per macOS che avrebbe consentito a un aggressore di “elevare in modo banale i propri privilegi fino a diventare root”. In altre parole, fino a prendere pieno controllo del computer della vittima.

Il trucco era in effetti semplice: era possibile scavalcare la verifica di autenticità degli aggiornamenti scaricati e quindi indurre lo scaricamento di una versione vecchia e meno protetta di Zoom, oppure forzare l’installazione di qualunque altra app ostile, dandole accesso completo al sistema operativo.

La falla era sfruttabile soltanto localmente da un utente non privilegiato, per cui il rischio era concreto solo in alcuni scenari abbastanza particolari, come per esempio un Mac condiviso in ambiente scolastico o lavorativo, ma visto che fra i milioni di utenti di Zoom ci sono appunto molte scuole e aziende in tutto il mondo, la società informatica omonima che gestisce l’app Zoom ha aggiornato molto rapidamente il proprio prodotto per eliminare questa falla. La notizia della grave vulnerabilità si è diffusa rapidamente e così gli utenti diligenti si sono precipitati ad aggiornare Zoom alla versione 5.11.5.

Ma poi è arrivato un altro ricercatore di sicurezza, Csaba Fitzl, che si è accorto che l’aggiornamento correttivo diffuso da Zoom era a sua volta difettoso e che quindi era possibile aggirarlo e continuare a sfruttare la vulnerabilità scoperta dal collega. E così Zoom ha dovuto rilasciare un aggiornamento di sicurezza per correggere il proprio aggiornamento di sicurezza rilasciato appena quattro giorni prima (i bollettini di sicurezza di Zoom sono qui).

Se vi sentite disorientati e volete semplicemente usare Zoom in santa pace, il consiglio degli esperti è di scaricare manualmente la versione più recente di Zoom, che al momento in cui pubblico questo podcast è la 5.11.9, senza attendere che Zoom faccia i suoi consueti aggiornamenti automatici. Per farlo è sufficiente andare a Zoom.us/download e scegliere la versione per il proprio sistema operativo. 

Come sempre, si consiglia di non cliccare su eventuali link di invito ad aggiornarsi ricevuti via mail o tramite messaggi e di digitare manualmente questo indirizzo per evitare truffe e attacchi informatici.

Fonti aggiuntive: MemeBurn, BitDefender.

Ultimo aggiornamento: 2022/08/26 23:30. Questo articolo è disponibile anche in versione podcast audio.

Microsoft Office e Google Docs sono i dominatori praticamente incontrastati nel mercato delle cosiddette suite per ufficio, ossia le applicazioni per la scrittura di testi, la creazione di fogli di calcolo e la produzione di presentazioni. Ma questi dominatori hanno ANCHE alcune limitazioni che in certi casi possono essere un problema.

Per esempio, Microsoft Office richiede una licenza, che va pagata e soprattutto gestita quando si passa da un computer a un altro, e non è disponibile per Linux se non in versione online tramite browser. Google Docs, invece, è usabile solo quando si è connessi a Internet, se non si fanno acrobazie preventive, e comunque implica la possibilità che Google legga quello che si scrive (“Accediamo ai tuoi contenuti privati soltanto se abbiamo la tua autorizzazione o se siamo obbligati per legge”, dice Google), con ovvie implicazioni di riservatezza personale e professionale.

Una soluzione a questi problemi è LibreOffice, una suite libera e gratuita realizzata dalla Document Foundation, che pochi giorni fa ha rilasciato la sua nuova versione 7.4 Community. LibreOffice permette di creare testi, fogli di calcolo, presentazioni e database salvandoli nel formato standard aperto OpenDocument ed è in grado di leggere e scrivere nei formati Microsoft Office.

LibreOffice è da sempre gratuito, anche se accetta donazioni, ed è open source per consentire la massima trasparenza e flessibilità. Evita i costi e le complicazioni delle licenze commerciali, è disponibile in oltre 120 lingue, compreso naturalmente l’italiano, e su tutti i principali sistemi operativi e da oltre vent’anni viene sviluppato da una vasta comunità internazionale di informatici appassionati.

Io lo uso quotidianamente ormai da un paio di decenni per tutti i miei documenti digitali, compresi quelli di lavoro, e trovo imbattibile la sua semplicità di uso e di installazione: fa tutto quello che mi serve su tutti i computer che uso e non mi assilla con scadenze e rinnovi di licenze. La compatibilità con i documenti Microsoft Office non è perfetta, specialmente per le formattazioni più complesse, ma in molti casi è assolutamente accettabile, e se si usa il suo formato normale, ossia OpenDocument, che è uno standard ISO, si ha la garanzia di poter leggere i propri documenti anche a grandissima distanza di tempo.

Se volete provarlo, LibreOffice è disponibile subito presso www.libreoffice.org/download in versioni per Windows, macOS e Linux. Ha un altro vantaggio importante rispetto alla concorrenza: funziona anche su sistemi operativi molto vecchi (da Microsoft Windows 7 SP1 in su e da macOS 10.12 in su) e offre anche alcuni prodotti per Android e iOS. La versione per macOS è disponibile sia per computer dotati dei recenti processori Apple Silicon, sia per quelli con processori tradizionali di Intel.

Insomma, se vi serve scrivere testi o creare fogli di calcolo o presentazioni e non volete spendere o complicarvi la vita, mantenendo il controllo e la riservatezza dei vostri documenti digitali senza dipendere da nessuno, LibreOffice può essere una buona soluzione. Provarla non costa nulla.

---

Le novità più significative di questa major release sono le seguenti, tratte dal comunicato stampa:

GENERALI
    • Supporto per immagini WebP e file EMZ/WMZ
    • Pagine di aiuto per la libreria di scripting ScriptForge
    • Campo di ricerca per l'Extension Manager
    • Miglioramenti delle prestazioni e della compatibilità

WRITER
    • Migliore tracciamento delle modifiche nell'area delle note a piè di pagina
    • Gli elenchi modificati mostrano i numeri originali nel tracciamento delle modifiche
    • Nuove impostazioni tipografiche per la sillabazione

CALC
    • Supporto per 16.384 colonne nei fogli di calcolo
    • Funzioni extra nel widget AutoSum a discesa
    • Nuova voce di menu per la ricerca dei nomi dei fogli

IMPRESS
    • Nuovo supporto per i temi dei documenti

Questo video riassume le principali novità di LibreOffice 7.4 Community (è disponibile anche su PeerTube):

Le note di rilascio descrivono in dettaglio tutte le novità.

Per chi stesse valutando di installare LibreOffice in azienda come sostituto o complemento della suite Microsoft, segnalo queste note importanti della Document Foundation:

Per le implementazioni di livello aziendale, TDF raccomanda la famiglia di applicazioni LibreOffice Enterprise fornite dalle aziende dell'ecosistema - per desktop, mobile e cloud - con un gran numero di specifiche funzionalità a valore aggiunto e altri vantaggi come gli SLA (Service Level Agreement): https://www.libreoffice.org/download/libreoffice-in-business/.

Nonostante questa raccomandazione, un numero crescente di imprese utilizza la versione supportata dai volontari, invece di quella ottimizzata per le proprie esigenze e supportata dalle aziende dell'ecosistema. Nel tempo, questo rappresenta un problema per la sostenibilità del progetto LibreOffice, perché ne rallenta l'evoluzione. Infatti, ogni riga di codice sviluppata dalle aziende dell'ecosistema per i clienti aziendali viene condivisa con la comunità sul repository del codice master e migliora la piattaforma tecnologica LibreOffice.

I prodotti basati sulla tecnologia LibreOffice sono disponibili per i principali sistemi operativi desktop (Windows, macOS, Linux e Chrome OS), per le piattaforme mobili (Android e iOS) e per il cloud. Il rallentamento dello sviluppo della piattaforma danneggia gli utenti e il progetto LibreOffice - nel lungo periodo - potrebbe essere al di sotto delle aspettative degli utenti e delle sue possibilità.

Migrazioni a LibreOffice

La Document Foundation ha sviluppato un Protocollo di migrazione per supportare le imprese che passano dalle suite per ufficio proprietarie a LibreOffice, che si basa sulla distribuzione di una versione LTS della famiglia LibreOffice Enterprise, oltre alla consulenza e alla formazione per la migrazione fornita da professionisti certificati che offrono soluzioni a valore aggiunto in linea con le offerte proprietarie. Riferimento: https://www.libreoffice.org/get-help/professional-support/.

Infatti, LibreOffice - grazie alla sua base di codice matura, al ricco set di funzionalità, al forte supporto per gli standard aperti, all'eccellente compatibilità e alle opzioni LTS di partner certificati - è la soluzione ideale per le aziende che vogliono riprendere il controllo dei propri dati e liberarsi dal vendor lock-in.

Una delle marche più note nel settore dei dischi condivisi o NAS (network attached storage) è QNAP, ma quest’azienda ha diffuso da poco un avviso di sicurezza importante: chi non ha aggiornato il software presente a bordo di questi NAS è a rischio di ricatto e di furto o perdita di dati.

L’azienda segnala infatti che è in corso una campagna di ransomware ai danni degli utenti dei suoi dispositivi. Criminali non identificati riescono a localizzare e a infettare via Internet i NAS QNAP non aggiornati, usando un malware denominato DeadBolt per mettere una password su tutti i dati che contengono e poi chiedono un riscatto per dare alla vittima la password di sblocco dei suoi dati. 

Chi non paga il riscatto e non ha una seconda copia di questi dati rischia di perderli per sempre, e c’è il rischio aggiuntivo che eventuali foto e video di natura intima archiviati sul NAS possano essere oggetto di ulteriore ricatto o finire nelle mani sbagliate.

QNAP consiglia quindi agli utenti di aggiornare al più presto il software di gestione dei propri dischi di rete condivisi, seguendo la procedura indicata nell’avviso. Aggiunge inoltre che se si è già stati attaccati è importante fare uno screenshot della richiesta di riscatto prima di aggiornare il software, perché l’aggiornamento cancellerà la richiesta, rendendo impossibile comunicare con i criminali per un eventuale recupero dei dati.

A prescindere dal caso specifico, gli esperti di sicurezza raccomandano di non collegare mai nessun NAS, di nessuna marca, direttamente a Internet, ma di farlo solo se strettamente necessario e comunque proteggendolo tramite un apposito firewall ben configurato.

Se usate Zoom, la popolarissima app per videoconferenze, aggiornatela subito: le versioni fino alla 5.10.0 compresa hanno una serie di falle di sicurezza importanti, che hanno un effetto sorprendente. Consentono infatti a un aggressore di usare la funzione di chat di Zoom per installare malware sul dispositivo della vittima, senza che la vittima debba fare nulla. In pratica, se l’aggressore è in una chat di Zoom con voi, può prendere il controllo del vostro computer, tablet o telefonino.

Il problema riguarda l’app di Zoom su Android, iOS, Linux, macOS e Windows. Per risolverlo, Zoom va aggiornato alla versione 5.10.1 o successiva.

La falla, composta in realtà da una serie di difetti concatenati (CVE-2022-22784, 785, 786 e 787) è stata scoperta da Ivan Fratric, un ricercatore informatico che fa parte del Project Zero di Google dedicato alla ricerca di vulnerabilità nelle app. La scoperta risale a febbraio, ma è stata resa pubblica solo il 24 maggio scorso.

Fonti: The Register, Ars Technica, The Hacker News.

Ultimo aggiornamento: 2021/12/28 21:40.

In queste ore (la sera del 24/12/21 mentre scrivo inizialmente questo articolo) Tesla sta rilasciando progressivamente un aggiornamento software molto esteso, denominato V11.0, che introduce numerose novità interessanti e dimostra la potenza e la flessibilità di un’architettura che consente di aggiornare il software del veicolo su connessione sicura via Internet, senza dover andare in officina, e di un’automobile software-defined.

Come sempre, non tutte le nuove funzioni sono disponibili su tutti i veicoli, a seconda delle dotazioni hardware del singolo esemplare. Per l’occasione, Tesla ha pubblicato un raro aggiornamento del suo blog ufficiale.

Cambia parecchio l’interfaccia utente per tutti i veicoli dotati di processore di infotainment Atom o superiore: fra le varie novità, viene introdotto il dark mode, ossia la possibilità di scegliere di avere sempre schermate con sfondo scuro, anche di giorno, per ridurre l’abbagliamento in galleria (finora il display adottava sfondi scuri automaticamente solo quando il sole tramontava e aveva solo una regolazione automatica della luminosità in base all’illuminazione ambientale).

Nel navigatore è ora possibile riordinare i waypoint, ossia le tappe intermedie, che prima dovevano essere selezionate in un ordine preciso e non modificabile.

Si può personalizzare il contenuto della barra menu inferiore per mettere immediatamente a disposizione le funzioni più desiderate:

Drag & drop your favorite apps along the bottom menu bar for easy access pic.twitter.com/GpD2HzB4GY

— Tesla (@Tesla) December 24, 2021

Se l’auto è dotata di telecamere laterali (lo sono tutte quelle da fine 2016 in poi), quando si aziona la freccia per cambiare corsia o per girare viene mostrata automaticamente sullo schermo la visuale dell’angolo cieco:

Automatically see a live camera view of your blind spot when activating your turn signal pic.twitter.com/FG9EOPe95D

— Tesla (@Tesla) December 24, 2021

Questa è una funzione estremamente utile in termini di sicurezza e ricorda quella presente già da qualche tempo sulla Hyundai Ioniq 5.

Le Tesla dotate di altoparlante esterno possono ora utilizzare i microfoni di bordo per comunicare all’esterno della vettura:

Talk through your Tesla with Boombox Megaphone 📢 pic.twitter.com/8xMO2bHP7L

— Tesla (@Tesla) December 24, 2021

Le telecamere perimetrali sono ora interrogabili in diretta via app anche in buona parte dell’Europa (prima questa funzione esisteva solo negli Stati Uniti). In pratica è possibile vedere sullo smartphone in tempo reale cosa vedono le telecamere dell’auto. Non è ancora chiaro quali siano i paesi europei nei quali viene attivata questa funzione: mi dicono che in Svizzera non è attiva, mentre in Italia lo è.

Passando ad aggiornamenti molto frivoli ma sempre divertenti, ora è disponibile il sudoku, si può consultare TikTok e si può anche giocare a Sonic (collegando un normale controller da console di giochi a una delle prese USB dell’auto):

Defeat Dr. Eggman as the fastest hedgehog of all time 🎮 pic.twitter.com/jrLjYTV6ne

— Tesla (@Tesla) December 24, 2021

Lo “spettacolo di luci”, ossia una sequenza automatica di accensioni di tutte le luci e di azionamenti di varie parti dell’auto (finestrini e specchietti) accompagnati dalla musica, è ora disponibile su tutti i modelli: prima era offerto solo sulla Model X. Inoltre è ora programmabile e personalizzabile con questo software, che genera anche scritte (per chi ha i fanali anteriori a matrice) e a quanto pare può essere utilizzato anche su auto di altre marche.

Program your own light show to make your Tesla dance! → https://t.co/nFm8ES2Zlv pic.twitter.com/Rc4q7RuDu0

— Tesla (@Tesla) December 24, 2021

Queste sono solo alcune delle principali novità. I dettagli sono, appunto, nel blog di Tesla.

Sto aspettando che arrivi anche a me questo aggiornamento per vedere quali di queste novità vengono supportate da Tess, la mia Model S del 2016, che si avvia ai sei anni di vita con su quasi 100.000 km e continua a ricevere aggiornamenti anche grazie al fatto che ho sostituito il processore di infotainment (quello che gestisce il “tablettone” centrale).

Se si potessero aggiungere le telecamere laterali (che Tess non ha), la visualizzazione dell’angolo cieco sarebbe comodissima, anche per i parcheggi a filo marciapiede. Tess non ha l’altoparlante esterno (e quindi non emette rumore durante la marcia a bassa velocità), ma sto pensando di far fare un retrofit apposito, come ho già fatto per il processore di infotainment e per la compatibilità con le colonnine CCS.

2021/12/25 00:01. Buon Natale!

2021/12/27 20:30. L’aggiornamento è arrivato anche a me. Ho visto che funzionano il dark mode, la personalizzazione dei widget sullo schermo e i nuovi layout delle funzioni.

2021/12/28 21:40. Arrivano le prime valutazioni degli utenti, e molte sono negative: alcune funzioni importanti richiedono più pressioni di pulsanti rispetto a prima e questo riduce la sicurezza, perché aumenta il tempo di distrazione dalla guida. Inoltre non è possibile usare la funzione di personalizzazione delle icone immediatamente disponibili per mettere in primo piano cose importanti come lo sbrinamento del parabrezza. Anche alcune scelte di interfaccia non sembrano affatto pratiche e sensate (sono spariti quasi tutti i pulsanti “X” di chiusura delle finestre). Speriamo che, come consueto, le critiche portino a miglioramenti e correzioni.

Per esempio, macOS 12.1 aggiunge SharePlay, per condividere musica o video oppure il contenuto di un’app durante le videochiamate, ma con alcune limitazioni. Sono migliorati anche i controlli parentali, che permettono di attivare avvisi se i figli minori ricevono o inviano foto intime tramite l‘app Messaggi. Le correzioni di sicurezza sono elencate qui.

iOS e iPadOS 15.2 contengono una nuova impostazione che permette di vedere meglio quali app hanno avuto accesso alle informazioni personali, ma sono aggiornamenti importanti soprattutto per le correzioni di sicurezza, che sono davvero tante. Alcune delle falle corrette da questi aggiornamenti consentivano di prendere il controllo del dispositivo usando semplicemente un’immagine o un file audio appositamente alterato.

Anche gli Apple Watch e le Apple Tv hanno i loro bravi aggiornamenti, rispettivamente alle versioni 8.3 e 15.2, ma non sono particolarmente significativi, a parte la correzione di una falla che permetteva di prendere il controllo degli Apple Watch tramite un’immagine appositamente confezionata.

C’è invece una novità interessante che riguarda Android: la cosa può sembrare strana, visto che Apple normalmente non produce software per Android, ma stavolta è così. L’azienda ha infatti rilasciato una nuova app Android, chiamata Tracker Detect, che permette anche agli smartphone di questo tipo, oltre che agli iPhone, di rilevare i dispositivi di tracciamento e localizzazione AirTag di Apple. Gli iPhone possono farlo andando nell’app Dov’è, scegliendo Oggetti e poi Identifica l’oggetto trovato.

Questi dispositivi, grandi come una moneta, sono pensati per rintracciare oggetti smarriti o rubati, come chiavi o valigie, ma sono utilizzabili anche in modo illecito per pedinare le persone a distanza e quindi è importante che anche gli utenti Android possano usare il proprio smartphone come rilevatore di eventuali AirTag nascosti da qualcuno nelle loro cose.

L’attacco consente di attivare telecamere e microfono, registrare messaggi, SMS, mail e chiamate vocali (comprese quelle cifrate con app come Signal). 

La versione 14.8 di iOS/iPadOS, la versione 11.6 di macOS, la versione 14.7 di tvOS e la versione 7.6.2 di watchOS risolvono il problema. 

Apple ha informazioni sulle falle e sugli aggiornamenti correttivi presso questi URL:

• https://support.apple.com/it-it/HT201222 (come scaricare gli aggiornamenti in generale)
  
• https://support.apple.com/it-it/HT212807 (iOS e iPadOS)
  
• https://support.apple.com/en-us/HT212804 (macOS Big Sur)
• https://support.apple.com/HT212805 (macOS Catalina)
• https://support.apple.com/HT212808 (Safari 14.1.2 per macOS Catalina e Mojave)
  
• https://support.apple.com/en-us/HT212806 (watchOS)
  

La prima vulnerabilità, denominata CVE-2021-30860 e battezzata FORCEDENTRY, è stata scoperta da Citizen Lab, un noto gruppo canadese di attivisti per la privacy e la sicurezza digitale, riguarda iMessage e viene sfruttata per esempio per iniettare un malware, denominato Pegasus, che è stato sviluppato dalla società israeliana NSO Group ed è già stato usato per penetrare negli iPhone di vari attivisti politici in modo completamente invisibile.

L’attacco, spiega Citizen Lab, viene lanciato semplicemente mandando un SMS alla vittima. L’SMS contiene un allegato che ha l’estensione GIF ma è in realtà un PDF malformato. Questo PDF malformato causa un crash di IMTranscoderAgent sul dispositivo (dovuto a un integer overflow nella libreria CoreGraphics di rendering delle immagini), e il crash consente l’esecuzione di codice malevolo sul dispositivo attaccato. 

La seconda vulnerabilità, denominata CVE-2021-30858, riguarda WebKit, il motore di rendering di Apple, usato da Safari e da quasi tutte le app che visualizzano contenuto HTML, ed è sfruttabile per eseguire codice sul dispositivo della vittima.

Anche se non siete dissidenti o attivisti, il fatto che esistano queste vulnerabilità è ora di dominio pubblico e quindi è presumibile che verranno sfruttate anche dalla criminalità informatica comune per attacchi su bersagli meno sensibili. In altre parole, per colpire anche utenti comuni.

Preparatevi a una certa attesa, perché tutti stanno scaricando gli aggiornamenti ed è prevedibile che i server di Apple siano leggermente sovraccarichi.

Fonti aggiuntive: TechCrunch, Sophos, Ars Technica, New York Times. 

La vulnerabilità in questione, la CVE-2021-40444, si basa su un difetto presente in MSHTML/Trident, il motore di rendering usato dall’obsoleto Internet Explorer e oggi utilizzato da Office per visualizzare i contenuti Web nei documenti Word, Excel e PowerPoint.

Se si apre con Microsoft Office su Windows un documento Office alterato in questo modo (includendovi un controllo ActiveX), l’aggressore che ha inviato il documento può prendere il controllo del computer della vittima, perché il motore di rendering esegue il codice ActiveX con gli stessi privilegi dell’utente. Il codice ActiveX usa questo potere per scaricare e installare un malware scelto dall’aggressore.

La vulnerabilità è insomma potenzialmente molto seria, ma va detto che se Microsoft Office viene usato con le sue impostazioni predefinite l’attacco non va a segno perché i documenti scaricati da Internet vengono aperti in Visualizzazione protetta o in Application Guard e quindi non possono accedere alle risorse trusted del computer attaccato. L’attacco non ha effetto su chi usa Microsoft Office su Mac ma riguarda tutte le versioni di Windows dalla 8.1 alla 10.

Defender, l’antivirus di Microsoft, già riconosce i documenti-trappola che sfruttano questa vulnerabilità, e lo stesso fanno i principali antivirus di altre marche, se li aggiornate.

Dovrebbe uscire a breve un aggiornamento di sicurezza che correggerà la falla, ma nel frattempo Microsoft consiglia a tutti non solo di aggiornare il proprio antivirus ma di disabilitare l’installazione di tutti i controlli ActiveX in Internet Explorer (nel modo spiegato nell’advisory) per contenere i danni di un eventuale attacco. Un altro consiglio è non usare un account Windows che abbia privilegi di amministratore, non disattivare la Visualizzazione protetta per nessun motivo e non aprire documenti Office inattesi, ricevuti via mail o scaricati da siti Internet non fidati.

Tutte cose ovvie, in linea di principio, ma purtroppo molti utenti non rispettano questi principi e poi finiscono per essere scottati. 

Fonti aggiuntive: The Hacker News, Cybersecurity360.it, Sophos, Tripwire.

Chi le riceve verrà avvisato da un’apposita icona che si tratta di contenuti temporanei, simili ai messaggi temporanei che già esistono da qualche mese in WhatsApp, come in altre app di messaggistica. 

Queste foto e questi video non potranno essere inoltrati usando WhatsApp, non verranno salvati nella galleria di immagini e verranno eliminati automaticamente dopo 14 giorni se non sono stati visti.

Interessante, ma attenzione a non interpretare questa nuova funzione come una giustificazione per pensare di potere condividere disinvoltamente foto intime o personali contando sul fatto che una volta viste spariranno per sempre: come per tutte le foto “autocancellanti”, esistono modi banalissimi (dallo screenshot in su) per rendere quelle immagini assolutamente permanenti.

Ben venga, quindi, l’uso di questa funzione per eliminare automaticamente le foto che scattiamo per usi temporanei, come per esempio quelle fatte per mostrare a qualcuno un prodotto o un vestito visto in un negozio, ma niente di più. La funzione è utile per non occupare spazio inutilmente sul proprio smartphone riempiendolo di foto e video che non servono, ma prima di usare questo servizio di “cancellazione” automatica, chiedetevi che cosa succederebbe se la foto “temporanea” diventasse permanente e circolasse.

Ultimo aggiornamento: 2021/06/28 9:20.

Il Corriere della Sera ha pubblicato la notizia (falsa) che “Tesla ritirerà oltre 285 mila auto dal mercato cinese: potrebbero causare incidenti” (copia permanente su Archive.is).

In realtà non c’è nessun ritiro. Le auto verranno semplicemente aggiornate via Internet, senza neppure andare in officina [2021/06/28: anzi, sono già state aggiornate].

Il verbo “ritirare” usato dal Corriere fa pensare che le auto debbano essere tolte dal mercato e portate materialmente alla riparazione o siano irreparabili o invendibili, con conseguenti costi enormi per la casa automobilistica.

La stessa notizia falsa è stata data da AGI Agenzia Italia: “Tesla ritirerà più di 285mila auto dal mercato cinese”, ha titolato, aggiungendo addirittura che “il pezzo sarà sostituito”. Il software, per AGI, è un “pezzo”. 

Reuters, invece, spiega correttamente e concisamente, già nel titolo, come stanno le cose: Tesla 'recalls' vehicles in China for online software update.

La parola recall (richiamo, non ritiro) è fra virgolette, per segnalare che è un richiamo solo per modo di dire, e Reuters chiarisce subito che verrà fatto un aggiornamento software online. Nel testo della notizia, inoltre, precisa che i proprietari non dovranno portare i propri veicoli in officina: “owners not required to return their vehicles.”

Il Corriere e Agi hanno successivamente modificato i loro titoli (non so se a seguito delle mie segnalazioni pubbliche) rispettivamente in “Tesla richiamerà oltre 285 mila auto dal mercato cinese: potrebbero causare incidenti” e in “Tesla “richiamerà” più di 285 mila auto in Cina a causa di problemi software”.

Le due testate hanno corretto anche il testo, aggiungendo finalmente che l’aggiornamento “potrà essere effettuato da remoto da parte dei tecnici Tesla, senza bisogno di recarsi in officina” (Corriere) e che “La Casa americana ha assicurato che lo aggiornerà da remoto, e gratis” (Agi).

Ma l’articolo del Corriere continua a contenere altre affermazioni false e ingannevoli.

Il quotidiano scrive infatti tuttora che ci sarebbero “criticità a livello di software. I sistemi di assistenza alla guida dei veicoli potrebbe [sic] infatti causare collisioni e incidenti” e aggiunge che il richiamo (quello che non c’è) consentirà di controllare il “sistema di cruise control, che sembrerebbe si possa attivare da solo, con il rischio di aumentare la velocità di crociera improvvisamente, mettendo a repentaglio l’incolumità dei passeggeri dell’autovettura per possibili incidenti.”

Non è vero. Il sistema di cruise control non si “attiva da solo”, così, a caso, magari a macchina ferma. Ancora una volta, Reuters spiega invece correttamente come stanno le cose: il sistema di guida assistita può essere attivato accidentalmente dai conducenti, producendo un’accelerazione improvvisa (“an assisted driving function in the electric cars, which can currently be activated by drivers accidentally, causing sudden acceleration”).

In dettaglio, secondo le informazioni raccolte e tradotte dagli utenti, se l’auto è in D (drive, ossia la normale modalità di guida in marcia in avanti) e il conducente aziona di nuovo la leva del selettore di “marcia” (sulla destra del piantone) per cambiare modalità, e se il veicolo deve curvare bruscamente il conducente può accidentalmente toccare e azionare questa leva, attivando inconsapevolmente il cruise control. Se il cruise control è impostato a una velocità maggiore di quella attuale, l’auto accelererà per raggiungere la velocità impostata.

Devono insomma verificarsi vari fattori concatenati in sequenza: non è affatto un’attivazione casuale. In ogni caso è un problema da risolvere, per maggiore sicurezza, e verrà risolto con un aggiornamento over the air. Il Corriere ha travisato completamente la notizia, rischiando di causare un danno economico e di reputazione a un'azienda. 

 ---

2021/06/28 9:20. L’aggiornamento software è già stato realizzato e reso disponibile. Si tratta semplicemente di un avviso acustico che informa il conducente dell’attivazione, volontaria o involontaria, del cruise control.

BREAKING: here comes the 1st demo of the completed OTA “recall” in China. Push down the right lever once & you hear the audible sound, alerting you the vehicle is in TACC mode. Lift the lever up to turn TACC off with audible alert. Simple as that.

Source: @cyfoxcat https://t.co/Ml3oCL7Qwm pic.twitter.com/ht6EYT7mk4

— Ray4Tesla⚡️🚘☀️🔋 (@ray4tesla) June 28, 2021

Fonti aggiuntive: Gizmodo, CleanTechnica, Engadget, Bloomberg, Tesla (in cinese), Nikkei Asia.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Non correte a cercare di installarlo: Microsoft prevede di offrire Windows 11 “a inizio 2022” come scaricamento gratuito e che i PC con Windows 11 preinstallato siano disponibili “nel corso dell’anno”, anche se sono già in circolazione copie molto, molto preliminari. Attenzione, come al solito, a fidarvi di fornitori sconosciuti. 

Questo è Windows 11 nella sintesi di due minuti e 42 secondi preparata da Microsoft:

Prima di pensare di installare Windows 11 sul vostro computer attuale, usate questa app (Controllo Integrità) per sapere se è compatibile. Poi, se proprio non resistete all’attesa e volete sperimentare le anteprime che saranno disponibili tra pochi giorni, potete iscrivervi al programma Windows Insider. Attenzione: queste anteprime sono appunto sperimentali, vanno usate con cautela e non sono consigliate come ambiente di lavoro. Meglio aspettare; tanto Windows 10 resterà supportato fino al 2025. 

Però mi raccomando: aspettare non significa continuare a usare Windows 7.

Fonti aggiuntive: Ars Technica, Punto Informatico.

Cybersecurity360.it segnala che ci sono quattro vulnerabilità di sicurezza in Microsoft Office che “se sfruttate con successo, potrebbero consentire a un attaccante di creare documenti Word ed Excel contenenti codici malevoli con cui attaccare i sistemi non aggiornati.“

Le falle (CVE-2021-31174, CVE-2021-31178, CVE-2021-31179 e CVE-2021-31939)  sono state scoperte a febbraio e rese note ora, in occasione del rilascio dei rispettivi aggiornamenti correttivi. Le prime tre sono state corrette con gli aggiornamenti di maggio 2021, mentre l’ultima è stata corretta con il Patch Tuesday di giugno.

Si sospetta che queste falle siano presenti da anni in Office, perché sono state trovate nel codice legacy per Excel 95, per cui chi usa versioni vecchie di questa suite può essere a rischio. Installate quindi subito gli aggiornamenti di sicurezza di MS Office e installate la versione più recente della suite.

Credit: Pinspiry.com.

È infatti disponibile la versione 14.5.1 di iOS e iPadOS, che risolve due falle che forse vengono già utilizzate dai criminali informatici: si tratta dei bug identificati come CVE-2021-30663 e -30665, descritti qui da Apple in italiano, che possono essere sfruttati semplicemente convincendo l’utente a visitare un sito web appositamente confezionato.

L’aggiornamento è disponibile per “iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)”.

Oltre a eliminare questo rischio di attacco, l’aggiornamento corregge anche delle magagne nel suo sistema App Tracking Transparency che limita il tracciamento pubblicitario.

C’è un aggiornamento di sicurezza apposito anche per chi è rimasto al vecchio iOS 12, che inoltre risolve una falla separata e porta iOS 12 alla versione 12.5.3.

Anche macOS va aggiornato alla versione 11.3.1 allo scopo di correggere questi stessi bug. Fatelo. I malviventi online contano sul fatto che non lo farete.

Fonte aggiuntiva: Ars Technica.

In realtà, spiegano i ricercatori di sicurezza, era possibile confezionare un malware che non veniva affatto verificato da Gatekeeper e che poteva infettare il computer della vittima semplicemente con un doppio clic sull’icona del’app.

Questa tecnica era nota ai criminali almeno da gennaio 2021: veniva usata, per esempio, per diffondere Shlayer, un falso aggiornamento di Flash Player che tempestava il Mac di pubblicità (un adware, insomma, mostrato qui sopra). Gli utenti si fidavano del fatto che Gatekeeper non protestava se si tentava di eseguire il programma non verificato e quindi lo eseguivano, scatenando l’infezione.

Esisteva anche un altro modo per eludere Gatekeeper: era sufficiente confezionare il programma ostile all’interno di un file ZIP appositamente confezionato. Anche questo problema è stato risolto dall’aggiornamento del Mac, insieme a una sessantina di altre vulnerabilità.

Apple ha rilasciato aggiornamenti anche per macOS Catalina e Mojave.

Fonti aggiuntive: JAMF, Ars Technica, Graham Cluley, Cybersecurity360.it.

Ultimo aggiornamento: 2021/04/01 13:45.

Apple ha rilasciato la versione 14.4.2 di iOS e iPadOS per correggere una falla che viene già sfruttata concretamente dai criminali informatici: un problema di universal cross-site scripting. In altre parole, un guaio grosso.

L’azienda ha rilasciato un aggiornamento correttivo per la stessa falla anche per iOS 12.5.2, ossia per i vecchi iPhone 5s, 6 e 6 Plus e sui vecchi iPad. Il problema tocca anche gli Apple Watch, che vanno portati alla versione 7.3.3 di watchOS.

La falla è stata classificata con il riferimento CVE-2021-1879.

Il cross-site scripting (XSS) è un tipo di vulnerabilità nel quale un sito può intercettare e manipolare il contenuto di un altro sito se entrambi sono aperti contemporaneamente sul dispositivo della vittima. Per esempio, se state visitando un negozio online, avete trovato un prodotto che vi interessa e nel frattempo state cercando in Google lo stesso prodotto a un prezzo migliore, può capitare di finire in un sito di truffatori che usa il cross-site scripting per leggere o prendere il controllo della vostra attività nel negozio legittimo.

Normalmente un XSS richiede che la pagina legittima abbia dei difetti tecnici; lo universal XSS, invece, agisce anche senza difetti nella pagina legittima, per cui può colpire anche siti bancari e altri siti ad elevata sicurezza. Il difetto, infatti, non sta nei siti, ma nel software del dispositivo usato. Per questo viene considerato un guaio grosso e viene corretto in fretta.

Fate quindi gli aggiornamenti appena possibile: Impostazioni - Generali - Aggiornamento software.

Nel frattempo, tenete presente un trucchetto che riduce il problema: visitate un solo sito per volta e riavviate periodicamente il vostro dispositivo. La persistenza degli attacchi informatici è infatti molto difficile da ottenere, per cui questo comportamento è consigliabile sempre e dovrebbe far parte delle buone abitudini di igiene informatica.

Fonte aggiuntiva: Ars Technica, Acunetix.

Credit: HWupgrade.it.

È disponibile da pochi giorni iOS 14.4, accompagnato dalla versione per iPad, ossia iPadOS 14.4. 

Va installato subito, se il vostro iCoso lo consente, perché oltre alle consuete novità e migliorie (descritte qui da Apple e qui da HWupgrade.it), contiene aggiornamenti di sicurezza molto importanti (descritti da Apple qui) che risolvono varie falle (CVE-2021-1782, CVE-2021-1871 e CVE-2021-1870).

Una di queste falle, la 1870, è sfruttabile semplicemente convincendo la vittima a visitare un sito Web dal proprio iPhone o iPad non aggiornato usando Safari e permetterebbe di prendere il controllo parziale o totale del dispositivo.

Il rischio non è teorico, come avviene solitamente con questi aggiornamenti: in questo caso la falla viene già sfruttata dai malintenzionati, secondo gli avvisi degli esperti.

Come consueto, l’aggiornamento si esegue andando in Impostazioni - Generali - Aggiornamento Software. Fatelo.