INSTALLAZIONE
Il pacchetto software si installa in pochi semplici passi e permette di indicare le informazioni di registrazione quali la chiave di licenza e la mail associata.
Al termine della procedura è possibile (e consigliabile) effettuare la registrazione online alla Community online sul sito answers.websitex5.com. E’ possibile infatti, tra le altre cose, ottenere supporto tecnico e scambiare informazioni con altri utenti, oltre ad accedere alla gallery e template online aggiuntivi.

PRIMO AVVIO
All’avvio del programma la schermata principale propone la possibilità di scegliere di cominciare a lavorare subito mediante il tasto Start(in primo piano) o Avvia (in basso a destra), o di consultare le gallery e le foto online, oltre al Social Help Center.
Non passa inosservato anche il collegamento al video tutorial, diviso nei famosi “5 passi”, che è sicuramente un valido aiuto per chi vuole prima di cominciare iniziare ad esplorare nel dettaglio il funzionamento del software.

Probabilmente sarebbe stato utile fare in modo che il playing del video fosse disponibile anche off-line, visto che il collegamento rimanda ad un sito Internet.

SCELTA DEL PROGETTO
Una volta scelto di cominciare a lavorare (tasto Start) la prima operazione proposta è quella di scegliere se creare un nuovo progetto o se modificarne uno di già esistente.
Da notare che gli eventuali progetti già salvati e presenti nella cartella di default del programma vengono mostrati sotto forma di anteprima automaticamente. L’utente può tuttavia navigare il filesystem e individuare file di progetti magari copiati da altri gruppi di lavoro.

FASE 1: IMPOSTAZIONI GENERALI
Il primo passo è la configurazione delle informazioni generali del proprio progetto. La sezione “Base” (pre-selezionata) consente di configurare informazioni classiche quali autore, titolo, descrizione e icona. E’ tuttavia possibile scegliere già qui una serie di keywords che vengano ritenute importanti per una corretta indicizzazione da parte dei motori di ricerca.
La sezione “Esperto” invece consente di inserire codice personalizzato nella sezione HEAD, così come definire l’aggancio a sistemi di statistiche o la configurazione all’uso degli strumenti per webmaster fornito da Google.
Lo step seguente prevede la scelta di un modello per il proprio sito avendo la possibilità di scegliere tra diverse categorie di template e per ognuno in differenti varianti di menu (orizzontale e verticale) e di colori. Ben 1500 template, ognuno in 4 diverse varianti di stile.
L’utente può altresì definire un proprio modello personalizzato, andando a scegliere informazioni essenziali quali tipo di menu, margini, sfondo oltre a definire direttamente le differenti sezioni della pagina stessa (contenuto, piè di pagina, intestazione, etc.).
Il modello scelto (personalizzato o template) può infine essere ulteriormente customizzato, andando ad agire su intestazione e piè di pagina.

FASE 2: CREAZIONE MAPPA
Dal modello si passa quindi a definire la mappa del sito tramite l’inserimento di livelli e pagine (con relativo titolo e descrizione). Per ogni pagina è possibile mediante l’apposita toolbar attivare la visualizzazione o meno della pagina stessa nel menu, impostare una protezione di pagina (access list/permessi) ed effettuare personalizzazione avanzate.

FASE 3: CREAZIONE PAGINE
E’ venuto quindi il momento di inserire i contenuti veri e propri per dar “vita” alle nostre pagine.
Per fare questo dobbiamo prima di tutto decidere quali e quanti contenuti vorremo mostrare nelle pagine.
Dovremo inoltre decidere come impaginare il tutto, e lo possiamo fare in maniera molto semplice e intuitiva mediante la comoda griglia che ci permette di organizzare i nostri contenuti che possono andare dal classico oggetto testo, alla galleria, passando per un più sofisticato elenco prodotti o un insieme di widgets già pronti (Facebook, Twitter, Google+, Shinystat, etc.). In fin dei conti la griglia altro non è che una rappresentazione della pagina stessa che stiamo di volta in volta creando.
Non basta far altro che draggare l’oggetto desiderato all’interno di una delle celle della griglia e configurarlo.
E’ ovviamente possibile fare in modo di aggiungere/eliminare righe e/o colonne, oltre a disporre un contenuto su più celle affiancate.
Molto comodo risulta essere l’editor interno per le immagini che consente di effettuare modifiche e applicare filtri on-the-fly ad una semplice immagine caricata da disco. In molti casi sarà quindi possibile fare a meno di utilizzare programma di photo-editing esterni quali Gimp o Photoshop.

FASE 4: Impostazioni avanzate
Il passaggio successivo consente di modificare in maniera avanzata configurazioni del sito che stiamo creando, agendo per esempio, sulla configurazione dei menu. E’ infatti prevista la possibilità di editare grafica dei pulsanti, aspetto dei testi, colori e stili.
Altre funzionalità prevedono la possibilità di:

• cambiare gli stili e modelli del progetto;
• impostare una pagina di benvenuto;
• gestire un messaggio pubblicitario da mostrare in home page o in tutte le pagine;
• usare le funzionalità di blog (creazione articoli, gestione categorie e commenti) e feed RSS;
• creare utenti diversi per poter gestire l’accesso protetto a pagine del sito: è infatti possibile tornare indietro al punto 2 (creazione mappa) e agganciare i profili alle pagine desiderate;
• creare un negozio online con tanto di categorie prodotti e relativi metodi di pagamento/spedizione abilitati;

FASE 5: Esportazione
Ultimo step, ma non per questo meno importante, anzi, è quello dell’esportazione del prodotto finale appena creato.
C’è la possibilità di esportare il progetto su disco (CD/DVD/USB) o in una semplice cartella del computer.
Inoltre tramite il motore FTP interno c’è il modo di pubblicare i contenuti creati direttamente su Internet.
Quest’ultima operazione è ovviamente molto semplice e sono sufficienti i classici dati forniti dal provider di hosting quali indirizzo, username e password in primis.
Completata l’operazione si è arrivati al termine del lavoro e come proposto dal programma, è possibile segnalare il proprio lavoro via Facebook agli amici o per esempio su Twitter per chi ci legge!

CONCLUSIONI
Il prodotto WebSiteX5 Evolution 9 rispetta in pieno le aspettative dell’acquirente, che dietro la frase “Crea un sito in 5 passi”, si aspetta di trovare un prodotto semplice e veloce da usare ma che al tempo stesso dia la possibilità di creare un prodotto finale professionale.
Per rendersi conto di come questo sia chiaramente possibile è sufficiente seguire il tutorial video presente sul sito e linkato all’interno del programma. I 5 video proposti sono un valido strumento per iniziare e meritano sicuramente di essere consultati prima di “buttarsi” ad esplorare il programma e le sue funzionalità.
Tra i punti di forza di questo software ricordiamo la già citata semplicità di utilizzo e le ottime potenzialità di customizzazione proposte, e a volte “nascoste”, tra i vari tab e opzioni accessibili nei vari passi.
Il prezzo proposto per una licenza del prodotto e’ sicuramente conveniente considerando i soli 69,95€ richiesti per la versione WebSiteX5 Evolution 9.
Ricordiamo inoltre che la registrazione del programma dà la possibilità di sfruttare gratuitamente per 12 mesi uno spazio web di 3GB, registrazione dominio e email illimitate. Il tutto grazie alla collaborazione con One.com per il quale viene fornito un voucher gratuito riscattabile dalla sezione personale su answers.WebSiteX5.com.

WebSite X5 Free: http://bit.ly/wFzvKp
WebSite X5 Demo: http://bit.ly/gQYZUT

RINGRAZIAMENTI
Il programma da testare mi è stato gentilmente concesso in licenza da Incomedia S.r.l.
Ringrazio ovviamente Dolores Francescato, della parte Web Marketing di Incomedia, con la quale mi sono interfacciato via mail per la preparazione della recensione.

Partendo dalla necessità di venire incontro anche a chi di programmazione ne sa poco o nulla, WebSite X5 consente di create “un sito in 5 passi”, e nello specifico:

1. scelta del template;
2. organizzazione del sito;
3. creazione delle pagine;
4. aggiunta di funzioni avanzate;
5. pubblicazione del sito finale;

L’utente ha la possibilità di scegliere tra piu’ di 1500 template, potendo personalizzare funzionalità avanzate quali l’integrazione con MySQL, la gestione di accessi utente e aree riservate oltre alle classiche funzionalità di feed RSS e news.
Il risultato finale lo si può infine vedere online grazie alla possibilità di pubblicare il tutto usando il motore FTP interno.

Qui sotto trovate la locandina del software WebSite X5 Evolution 9 e del suo “fratello minore” WebSite X5 Compact 9.
Ovviamente è possibile scaricare e provare il programma che pero’ nella versione demo ha salvataggio limitato a 10 pagine e pubblicazione disabilitata.
Appuntamento a presto con la recensione completa del prodotto!

PRESS KIT: WebSite X5 Evolution 9
SITO WEB: WebSite X5 Evolution 9

Alcune falle che interassano il software di casa Mozilla, possono essere sfruttate per lanciare attacchi “drive-by-download” e conseguente esecuzione di malware, semplicemente navigando apposite pagine web.
11 vulnerabilità su 13 sono state etichettate come “critical”, poichè per l’appunto non richiedono alcuna interazione utente al di là della normale navigazione.
Una patch, è in realtà un nuovo aggiornamento per una issue che Mozilla era convinta di aver definitivamente fixato già nel mese di marzo.

Altre possibili conseguenze delle falle individuate sono attacchi di tipo cross-site scripting (XSS), Denial-of-Service (DoS) e bypass della sicurezza Java.

Ecco una lista delle vulnerabilità critiche che interessano le versioni Firefox 3.5 e 3.6:

• MFSA 2010-84 XSS hazard in multiple character encodings
• MFSA 2010-83 Location bar SSL spoofing using network error page
• MFSA 2010-82 Incomplete fix for CVE-2010-0179
• MFSA 2010-81 Integer overflow vulnerability in NewIdArray
• MFSA 2010-80 Use-after-free error with nsDOMAttribute MutationObserver
• MFSA 2010-79 Java security bypass from LiveConnect loaded via data: URL meta refresh
• MFSA 2010-78 Add support for OTS font sanitizer
• MFSA 2010-77 Crash and remote code execution using HTML tags inside a XUL tree
• MFSA 2010-76 Chrome privilege escalation with window.open and <isindex> element
• MFSA 2010-75 Buffer overflow while line breaking after document.write with long string
• MFSA 2010-74 Miscellaneous memory safety hazards (rv:1.9.2.13/ 1.9.1.16)

Gli utenti dovrebbero aver già aggiornato il proprio browser tramite il classico sistema di aggiornamento automatico, alle versioni 3.5.16 e 3.6.13.
Nel caso cosi’ non fosse, l’update è fortemente consigliato.

Vedremo quindi quali sono i passaggi da effettuare per poter utilizzare le funzionalità di stampante e scanner della nostra multifunzione.

1. colleghiamo la multifunzione via usb al PC e annulliamo l’eventuale ricerca driver, tanto dobbiamo installarli noi a mano;
2. scarichiamo dal sito di Brother i relativi pacchetti .deb che ci interessano;
3. sezione “Download->Printer Driver”: preleviamo i .deb per LPR driver e cupswrapper driver della nostra MFC-465CN;
4. sezione “Download->Scanner Driver / Scan-Key-Tool”: preleviamo i .deb per brscan2 e scan-key-tool (32/64bit);
5. installare prima il pacchetto mfc465cnlpr-1.0.1-1.i386.deb e poi il pacchetto mfc465cncupswrapper-1.0.1-1.i386.deb per la funzionalità stampante;
6. installare prima il pacchetto brscan2-0.2.4-4.i386.deb e poi il pacchetto brscan-skey-0.2.1-3.i386.deb per la funzionalità scanner.

Una piccola nota per quanto riguarda il driver cupswrapper di stampa.
Quasi sicuramente, nonostante il sistema vi dica che il pacchetto è stato installato correttamente, potreste riscontrare un problema analogo a quello evidenziato nello screenshot sottostante.

Per risolvere date semplicemente questo comando:
sudo mkdir /usr/share/cups/model
Fatto questo reinstallato il pacchetto e tutto dovrebbe filare liscio.

Futura premura sarà verificare il funzionamento della funzionalità PC-Fax visto che sul sito sono presenti i driver, oltre a testare la stampa via rete dato che la stampante la supporta essendo dotata di apposita interfaccia.

Le considerazioni di questo post riguardano l’attuale versione di Ubuntu 9.04 (Jaunty Jackalope) installata sul mio pc desktop, ma penso possano essere applicate tranquillamente alla più recente 9.10.
In particolare quello che ci serve è prelevare direttamente dal sito del progetto pidgin-facebookchat l’ultima versione, nel mio caso la 1.63.
E’ necessario inoltre procurarsi il .deb della libreria libjson-glib-1.0-0: pidgin-facebookchat infatti richiede una versione >= 0.7.6.
Quest’ultimo è disponibile direttamente da qui:
- http://mirrors.kernel.org/ubuntu/pool/main/j/json-glib/libjson-glib-1.0-0_0.7.6-0ubuntu1_i386.deb
- http://mirrors.kernel.org/ubuntu/pool/main/j/json-glib/libjson-glib-1.0-0_0.7.6-0ubuntu1_amd64.deb

Una volta installati entrambi i .deb e creato l’apposito account da Pidgin sarà possibile sfruttare la chat dal nostro programma di instant messaging preferito.
Le versioni di pidgin-facebookchat e libjson-glib-1.0-0 disponibile sui repository ufficiali e accessibili ad esempio da “Sistema->Amministrazione->Gestore pacchetti” sono datati.
Personalmente tempo addietro ho avuto modo di provarli e ho notato parecchi problemi.
Buona chat dunque!

Il problema è stato individuato nella mancata validazione dell’input da parte dell’applicazione in una chiamata alla funzione eval(): ciò può consentire l’eventuale esecuzione di codice Javascript arbitrario.

Una volta lanciato il codice viene eseguito con i privilegi di sistema e questo consente l’accesso alle risorse della macchina bersaglio. Affinché l’attacco avvenga con successo è necessario che l’utente visiti una pagina web “contraffatta” e che sia “ingannato” e portato a cliccare su determinati pulsanti della toolbar.

Secunia ha individuato il bug nella versione 0.5.9, ma potenzialmente altre versioni potrebbero essere affette dal problema.
L’ultima versione rilasciata ovvero la 0.5.9.2 risolve il problema ma non è ancora stabile, ma taggata come “experimental“.

Gli amministratori inoltre non saranno più in grado di effettuare l’upload di files arbitrari nella media library: ricordiamo che la white list di estensioni consentite finora era applicata solo agli utenti normali.
Lo scopo è rendere più difficile ad un eventuale attaccante che abbia compromesso un account amministrativo, di effettuare l’upload e l’esecuzione di codice PHP.

Il team raccomanda altresì di installare il plugin “WordPress Exploit Scanner” che consente di rilevare potenziali tracce di intrusione sui propri siti/blog.
Il plugin infatti cerca nei file e nel database (post, commenti, tag etc.) la presenza di potenziale codice malevole, tenendo di fatto sotto controllo anche la lista dei plugin attivi.
Come lo stesso sviluppatore dell’estensione Donncha O Caoimh tiene a sottolineare, questo plugin non previene in alcun modo eventuali attacchi.

Dirk Knop, technical editor Avira, ha dichiarato che gli utenti dei prodotti Avira AntiVir Premium, Avira Premium Security Suite e Professional non hanno riscontrato alcun inconveniente visto che per le versioni a pagamento sono previsti server e banda dedicati.
I problemi (riscontrati ieri) sembrano al momento risolti e anche gli utenti della versione free dovrebbero essere in grado di aggiornare correttamente.
L’azienda ha dichiarato che nel giro di due settimane renderanno disponibile un sistema più performante in grado di far fronte alle elevate richieste di update quotidiane da parte delle versioni free.

Secondo un post pubblicato sul blog ufficiale di Google, le performance Javascript sono state migliorate del 150% rispetto alla prima beta e di ben il 25% rispetto all’ultima stable release: tutto questo grazie agli aggiornamenti al motore Javascript V8.

La release include una nuova pagina “New Tab” riprogettata per essere personalizzabile secondo le preferenze dell’utente e customizzabili nel look-and-feel mediante il supporto built-in per i temi.
La barra degli indirizzi “Omnibox” utilizza ora icone diverse per distinguere azioni come la ricerca, bookmarks e pagine precedentemente visitate.
Il nuovo Google Chrome 3.0 inoltre introduce nuove caratteristiche HTML 5, gli elementi <audio> e <video>.

Questa ultima release inoltre corregge un problema di sicurezza riguardante i contenuti dei feed RSS o Atom, onde prevenire i tentativi di injection di codice Javascript e attacchi cross-site scripting (XSS).
La versione è disponibile in 50 lingue differenti per i sistemi operativi Windows XP e Vista.

Ancora da rilasciare invece una versione stabile per Chrome su sistemi Linux e Mac OS X.
L’ultima versione rilasciata circa una settimana fa attraverso il Developer Channel è la 4.0.207.0, e corregge alcuni bug oltre a fixare un problema di XSS.

La nuova versione migliora le informazioni per l’utente in fase di installazione applicazioni che facciano affidamento su altre già presenti nel dispositivo. Migliorate le performace Wi-Fi con Bluetooth attivo. Safari Mobile ha ora una nuova funzionalità anti-phishing.

La maggioranza degli aggiornamenti di sicurezza sono legati a errori in WebKit che consente l’injection e esecuzione di codice malevole nel dispositivo quando un utente visita determinati siti.
Incluso nel pacchetto anche l’aggiornamento riguardante il famoso bug degli SMS già corretto nella release 3.0.1 di inizio agosto.

Gli utenti iPod touch che non hanno ancora aggiornato alla versione iPhone OS 3.x, possono farlo ora comprando l’update su iTunes Store a 4.95$.

Adobe ha annunciato che la data prevista per i prossimi aggiornamenti per Adobe Acrobat e Reader sono previsti per il 13 ottobre.
Il vendor ha chiamato in causa le vulnerabilità scoperte di recente nella Microsoft Active Template Library (ATL), che affliggono numero prodotti.
Tutto ciò comporterà appunto un ritardo nel ciclo di patch trimestrale introdotto in primavera, visto che il fix su questi bug ha la priorità su quelli scoperti internamente.

RIFERIMENTI:
- Adobe and Oracle delay their patch days, by Heise Security

Che fare allora? Recarsi dal fotografo e farne di nuove oppure pensarci da soli col semplice aiuto di uno scanner, stampante e un foglio di carta fotografica?
Se aggiungiamo a questo IDPhotoStudio il gioco è fatto!

Il software è gratuito e localizzato anche in italiano: consente di scegliere la foto e il suo formato (disponibili le dimensioni preimpostate per le varie nazionalità) oltre a consentire di impostare il numero di fotografie da stampare sul foglio.
Il risultato è assicurato! Provare per credere!

Tra poco più di un mese quindi, due tra i tools più diffusi per l’analisi di un sistema Windows (malware e virus inspection in particolare) andranno definitivamente in pensione.
Gli utenti dovranno fare quindi riferimento al tool Procmon (giunto alla versione 2.5).
Tra le note si mette in evidenza come Process Monitor sarà il “naturale sostituto” per RegMon e FileMon, in virtù anche del fatto di essere più scalabile e avanzato dei suoi predecessori.

Questi due tools hanno avuto lunga vita, essendo nati già nel 1996 agli inizi di Sysinternals (originariamente NTinternals), e i fans dovranno dirgli addio a partire dal 1 settembre visto che verranno rimossi dal sito.

Il consiglio è quindi quello di verificare le installazioni ColdFusion esistenti ed eventualmente patchare i sistemi. Gli amministratori dovrebbero anche controllare l’eventuale presenza di applicazioni ColdFusion “vecchie” e mai disinstallate: anche queste potrebbero essere un potenziale target degli attacchi.

RIFERIMENTI:
* Security updates for Samba, by Heise Security
* Formatstring vulnerability in smbclient, Samba advisory.
* Uninitialized read of a data value, Samba advisory.

Con la nuova versione l’installazione di Glassfish/ESB su larga scala dovrebbe essere semplificata, visto il supporto attuale al clustering per tutti i componenti.
Tra le nuove features incluse:
– un componente per lo scheduling basato sul package Quartz
– un Service Engine per Complex Event Processing (CEP)
Fixati anche numerosi bug e altri cambiamenti consultabili direttamente nelle release notes.
OpenESB è disponibile sotto la Common Development and Distribution License (CDDL).
Glassfish ESB è disponibile in un unico pacchetto di installazione contenente l’application server GlassFish e l’ide Netbeans.

Riferimenti:
– OpenESB 2.1 released by Heise OpenSource

A seconda di come è configurato il web server, la prima richiesta può quindi fare in modo che vengano mantenute delle risorse per la response in attesa che venga completata l’intera request.
I web server vulnerabili a questa sorta di “freno a mano” remoto sono stranamente proprio quelli che implementano strategie per evitare gli overload, per esempio, consentendo solo un determinato numero di richieste HTTP parallele.
Stando a quanto dichiarato da Hansen fra questi Apache Server 1.x e 2.x, dhttpd, GoAhead WebServer e Squid. Non vulnerabili al problema IIS6.0, IIS7.0 e lighttpd.
I web server possono essere protetti mediante l’utilizzo di load balancers come Perlbal o web applications firewall che forwardino in maniera completa le richieste HTTP al server.
In caso di attacchi improvvisi, il problema può essere “mitigato”, semplicemente riducendo il parametro di time-out per le richieste http.

RIFERIMENTI:
* Remote handbrake for web servers by Heise Security
* Slowloris HTTP DoS, an explanation of the Slowloris concept from RSnake.

La versione commerciale del prodotto, XenServer Essentials, include features quali bilanciamento del carico e connettività verso Citirix StorageLink services: quest’ultima configurabile solamente da riga di comando.
La versione community edition di XenServer 5.5 è disponibile per il download gratuito qui.

FONTE: Citrix XenServer 5.5 released by Heise Security

L’aggiornamento della “Mela” include i fix per alcune vulnerabilità critiche in Java 1.6, 1.5 e 1.4.
Una falla “extra” non riportata da Fuller è stata patchata in Mac OS X 10.5: era possibile per applet Java non firmate ottenere i privilegi per eseguire codice malevole.
L’aggiornamento rilasciato da Apple tuttavia incorpora la versione Java 6 Update 13, nonostante alla fine di maggio sia stato rilasciato l’update 14.
Stando a Sun tuttavia l’aggiornamento Java 6 Update 14 non chiude alcuna vulnerabilità, ma aggiunge una nuova funzionalità “blacklist”.
Grazie a questa, il Java Plug-in e Web Start controllano una blacklist per verificare se caricare o meno eventuali jar “malevoli” o non sicuri.

FONTE: Apple closes vulnerabilities in Java by Heise Security

Per il futuro sono previsti il supporto a Windows 7, opzioni da command line per la creazione di volumi e volumi CD/DVD “Raw”.
TrueCrypt 6.2a è disponibile per piattaforme Windows 2000, XP, Vista, Mac OS X e Linux.

Fonte: TrueCrypt 6.2a released by Heise Security

All’inizio la tecnologia potrebbe essere usata sui dispositivi embedded.
Il supporto multi-touch richiede l’ultima versione 2.6.30 del Kernel Linux.

L’applicazione di demo riconosce i movimenti multi-touch e invia messaggi D-Bus (un meccanismo di comunicazione IPC) al window manager Compiz 3D per creare i relativi effetti.
Qui sotto il video dimostrativo messo disponibile dall’ENAC.

Dopo essersi accorta che la sua protezione può essere scavalcata dal supporto RTMPE integrato in rtmpdump, ha fatto partire un avviso “cease-and-desist”, invocando il Digital Millennium Copyright Act (DMCA) per impedire la distribuzione del software.
Una analisi del RTMPE pubblicata di recente giunge alla conclusione che, nonostante l’algoritmo utilizzi un modello di sicurezza end-to-end simile al protocollo SSL, a differenza di questo non fornisce alcuna sicurezza o autenticazione di sorta.
Non viene utilizzata da nessuna parte una chiave segreta, una password o una pass-phrase per cifrare/decifrare il contenuto.
Il processo di verifica necessita semplicemente dell’SWFHash (hash di 32 bytes), della dimensione del file SWF, e degli ultimi 32 bytes della prima risposta del server.
Alla luce di questo sembra alquanto strano che Adobe invochi il DMCA per classificare questa situazione come un tentativo di aggirare un meccanismo di protezione delle copie.

Di certo tutto ciò non pone in buona luce Adobe di fronte ai suoi clienti,network televisivi e studios cinematografici in primis.
L’uso del protocollo RTMPE per la distribuzione di contenuti DRM-protected è diventato sempre più diffuso infatti.
Nel contempo si segnala flvstreamer, una versione “ridotta” di rtmpdump, che non include il supporto RTMPE.

RIFERIMENTI:
Adobe acts against Flash video stream recorder, by Heise OpenSource

Stando a Carettoni e Di Paola, questo può causare comportamenti anomali e indesiderati, oltre a prestarsi a potenziali attacchi di sicurezza.
Gli stessi WAFs (Web Application Firewalls) e i moduli di sicurezza dei server sarebbero vulnerabili ad attacchi di tipo HPP.
Mentre il modulo Apache’s ModSecurity è infatti in grado di riconoscere un attacco SQL-injection come questo:
/index.aspx?page=select 1,2,3 from table where id=1
non è in grado di inviduare quest’altro:
/index.aspx?page=select 1&page=2,3 from table where id=1
La tecnica HPP potrebbe altresì essere usata per lanciare attacchi di tipo Cross-Site-Scripting (XSS) a danno dei vari web browsers.
Il filtro anti-XSS di Internet Explorer 8 è infatti tra i componenti vulnerabili.

Carettoni e Di Paola come “rimedio” consigliano un filtering appropriato e rigoroso dei parametri oltre all’uso dell’URL encoding. Suggerito anche l’uso di un URL rewriting che utilizzi espressioni regolari “sicure”.

RIFERIMENTI:
- New type of attack on web applications: Parameter Pollution, by Heise Security

Link per effettuare il download della nuova versione 1.4.18.

Riferimenti:
– Security Update for SquirrelMail, by Heise Security

La versione 9.1.1 per UNIX dell’aggiornamento risolve anche una seconda vulnerabilità riguardante la funzione Javascript ‘spell.customDictionaryOpen’.
Il metodo in questione può essere manipolato per causare un DoS (Denial of Service) o eseguire codice arbitrario.
Aggiornamento consigliato quindi, e disponibile per le piattaforme Windows, Mac e UNIX.

Riferimenti:
* Adobe closes critical Acrobat and Reader holes, by Heise Security

Dai test effettuati il team ha confermato che il sistema sembra stabile con queste nuove impostazioni, tuttavia non è ancora confermato se i nuovi driver offriranno offriranno un supporto certo a questa funzionalità.
Si tratta infatti di un test puramente sperimentale visto che i drivers non sono stati ancora ufficialmente integrati in Ubuntu 9.04.

RIFERIMENTI:
- Updated graphics drivers for Ubuntu 9.04, by Heise OpenSource

Micro Framework è un runtime .NET per devices “ridotti” che non sono supportati dal Microsoft .NET Compact Framework o dalla versione embedded Windows CE.
Il framework non supporta sistemi operativi real time, ma supporta processori ARM7 e ARM9 e dispone della funzionalità di garbage collection per la memoria.

RIFERIMENTI:
- .NET Micro Framework could become open source, by Heise OpenSource

Gli sviluppatori Mozilla affermano che i vantaggi saranno tutti in performance e stabilità: utilizzare processi separati per l’UI e per i contenuti consentirà di avere un browser che non si blocca quando ci sono problemi con un sito web. Le versioni attuali di Firefox sono costituite da un unico processo.
Un’anteprima semi-funzionante del browser è prevista per metà luglio, seguita dal rilascio della maggior parte del codice per l’inizio di Novembre assieme a tweaks su performace e stabilità.
Ignota invece la data di un rilascio finale.

Mozilla sta altresì prendendo in considerazione l’idea di utilizzare lo stack di rete “preso” da Chromium per rimpiazzare Necko, la loro libreria di rete.

RIFERIMENTI:
- Future Firefox to run separate processes, by Heise Open Source

OpenOffice 3.1, nelle sue versioni per Windows, Linux, Solaris e Mac OS X è scaricabile gratuitamente dal sito ufficiale di OpenOffice.

La stessa Adobe ha confermato che attualmente tutte le versioni supportate di Adobe Reader (9.1, 8.1 e 7.1.1) sono vulnerabili. Il consiglio è quello di disattivare il suppurto Javascript per limitare il problema.
Gli aggiornamenti dovrebbero essere resi disponibili il prima possibile.
Tutti gli utenti che vogliono evitare strane “sorprese” nascoste dentro i file PDF, dovrebbero orientarsi verso un reader pdf (magari gratuito) alternativo e disinstallare Adobe Reader.

Approfondimenti:
* Demo exploits for new vulnerabilities in Adobe Reader, by Heise Security
* Adobe Reader ‘getAnnots()’ Javascript Function Remote Code Execution Vulnerability, SecurityFocus post.
* Adobe Reader ‘spell.customDictionaryOpen()’ JavaScript Function Remote Code Execution Vulnerability, SecurityFocus post.
* Potential Adobe Reader Issue, Adobe’s response.
* Update on Adobe Reader Issue, Adobe’s follow up response.
* F-Secure advises against using Adobe Reader, report from The H Security.

Oracle Database Server è interessato da patches riguardanti ben 16 bugs, due dei quali consentono di lanciare exploits che non richiedono alcun tipo di autenticazione.
Nonostante questo entrambe hanno ottenuto un CVS-Score (Common Vulnerability Scoring System) di 5.
12 patches anche per Oracle Application Server, mentre solo 3 per Oracle E-Business Suite and Applications.

Piu’ gravi invece le vulnerabilità riguardanti la suite BEA (8 patches), con punteggi CVS fino a 10 per i prodotti JRockit e WebLogic Server.
La patch per JRockit include i fix per 14 problemi riguardanti la JRE (Java Runtime Environment) di Sun Microsystems: tutti bugs noti già da dicembre.

RIFERIMENTI:
* Oracle publishes 43 security updates, by Heise Security
* Oracle Critical Patch Update Advisory – April 2009, advisory from Oracle.

Gli altri exploits sfruttano delle vulnerabilità di alcune chiamate di sistema (CTL_VFS, SYS___mac_getfsstat e SYS_add_profil) che permettono ad utenti loggati di far crashare il sistema.
Un ulteriore bug in AppleTalk permette di realizzare un buffer overflow.

Resta ignoto se Apple è stata informata di questi problemi.
Sul suo sito web digit-labs.org, l’autore degli exploits scrive che ha già mostrato al recente CanSecWest 2009 i problemi in questione.

RIFERIMENTI:
* Root exploit for Mac OS X, by Heise Security
* Recent Additions, Overview of the exploit for Mac OS X.
* Pwn2Own 2009: Safari, IE 8 and Firefox exploited, a report from The H.

La nuova release supporta ora il multi-threading, migliorando così le prestazioni e riducendo il tempo impiegato per completare una scansione.
Aggiunta anche la possibilità di creare report personalizzati dei risultati grazie a XSLT.
Sia su sistemi Windows che Unix-based viene usato lo stesso motore di scansione e meccanismo di TCP SYN port scan. Tutti i tools da riga di comando sotto Unix/Linux funzionano ora perfettamente anche su Windows.
La versione 4.0 non dipende piu’ da librerie esterne, rendendo l’installazione e la configurazione piu’ semplici.
Il Nessus Attack Scripting Language (nasl) è stato inoltre rivisto e ampliato grazie al nuovo supporto per il parsing XML e funzionalità di rete varie.

Nessus 4.0 è disponibile gratuitamente per uso personale e non-aziendale, ma richiede agli utenti l’indirizzo e-mail per la registrazione.
La licenza annuale professional costa 1200$.
Maggiori informazioni circa il rilascio può essere recuperate tra le FAQ di Nessus 4.0 e la documentazione fornita.
Disponibile direttamente per il download qui: http://www.nessus.org/download/.

RIFERIMENTI:
- Version 4 of the Nessus vulnerability scanner released, by Heise Security

Nel caso del sistema sotto osservazione è stato rilevato il download e successiva installazione di un aggiornamento criptato da un nodo P2P in Corea.
Il worm è mutato nella variante .E, che mostra nuove caratteristiche.
In particolare tenta di cancellare le proprie tracce, eliminando voci di registro esistenti e utilizzando da quel momento in poi nomi di file e servizi in maniera random.
Il worm si mette in ascolto sulla porta TCP 5114, in attesa di richieste in grado di essere processate dal mini-server HTTP interno.
Si connette a myspace.com, msn.com, ebay.com, aol.com cnn.com al fine di verificare se c’è una connessione Internet attiva.

A quanto pare il worm sta continuando a diffondersi unicamente attraverso la vulnerabilità di Windows.
BitDefender ha fatto sapere che la nuova variante blocca l’accesso non solo al sito web di BitDefender, ma anche a quelli di numerosi security vendors che offrono tools per la rimozione di Conficker in tutte le sue varianti.

Le analisi hanno evidenziato come l’ultima versione di Downad/Conficker dovrebbe disabilitarsi il 3 maggio 2009. Non appare ancora chiaro se siano previsti ulteriori aggiornamenti prima di allora.
Alcuni esperti hanno evidenziato sporadici collegamenti a domini legati alla botnet Waledac.
Anche Symantec ha riscontrato un comportamento analogo.
Un file scaricato da Conficker (484528750.exe) si pensa contenga il bot Waledac.
Tuttavia a parte questo, finora, ne’ Trend Micro, ne’ Symantec si sono sbilanciati circa questa “interconnessione” tra Conficker e Waledac.

Sul sito di Heise Security e’ disponibile una pagina con le principali informazioni su Conficker e collegamenti a test per verificare un’eventuale infezione della propria macchina.
Vengono elencati anche i principali e piu’ importanti tools e scanners per la rimozione.

RIFERIMENTI:
- Conficker now definitely downloading updates, by Heise Security
- The H Security Conficker information site

Riferimenti:
* Critical vulnerability in plug-in for IrfanView image viewer, advisory from Heise Security.
* IrfanView Formats Plug-in XPM Parsing Integer Overflow, advisory from Secunia Research.

In particolare invocando la funzione NetpwPathCanonicalize(), che contiene la vulnerabilità attraverso cui il worm si diffonde.
Quando la macchina è infetta, Conficker intercetta e gestisce le chiamate a questa funzione, modificando in alcuni casi le risposte.
Affinchè questo test abbia successo è necessario che la porta TCP 445 sia accessibile.
Tipicamente questa porta non è accessibile (e non dovrebbe esserlo) attraverso da Internet.

Leder e Werner hanno realizzato uno scanner per dimostrare la veridicità di quanto scoperto.
In collaborazione con Dan Kaminsky, hanno inoltrato l’informazione al Conficker Working Group e altri esperti di sicurezza.
In questo i tool di scansione disporranno presto di questa funzionalità: in particolare Kaminsky ha annunciato estensioni per nmap, Tenable (Nessus), McAfee/Foundstone, ncircle e Qualys.
A quanto pare domani 1 aprile Conficker.C scaricherà da Internet degli aggiornamenti al proprio codice.
Gli effetti di questi updates non sono al momento conosciuti.
Attualmente molti produttori anti-virus offrono tools specifici per rimuovere Conficker.
In ogni caso la soluzione migliore per un sistema infetto è la reinstallazione del sistema operativo e l’eventuale ripristino di una copia “pulita” dei dati di backup.

RIFERIMENTI:
* German researchers develop network scan for Conficker worm, by Heise Security
* Detecting Conficker, announcement from the Honeynet Project.
* Scanner download, a ZIP file.

Gli aggiornamenti sono disponibili per le piattaforme Windows, Mac OS X e Linux, e fixano due vulnerabilità.
Uno è per l’appunto il problema legato al parsing XSL, scoperto da Guido Landi e precedentemente segnalato da un utente della comunità Ubuntu come problema di stabilità.
L’altra vulnerabilità riguarda la possibilità di eseguire codice, legata ad un bug del metodo XUL tree. Questo bug è stato reso noto da Nils al Pwn2Own 2009.

Disponibili le Release Notes di Firefox 3.0.8.

RIFERIMENTI:
- Firefox 3.0.8 now available, by Heise Security

Il software una volta preso in input l’SWF da analizzare è in grado di decompilare il bytecode ActionScript 2/3 in codice sorgente originale, permettendone la scansione, alla ricerca di oltre 60 vulnerabilità conosciute.
Il tool è in grado di controllare svariati tipi di vulnerabilità, inclusi problemi di escalation di privilegi cross-domain, cross-site scripting (XSS) e altri leak nella sicurezza di informazioni confidenziali.
A tutto questo si aggiunge un check con le “best practices” di Adobe in fatto di sicurezza.

Stando a quanto riferito da Billy Hoffman, manager dell’HP Web Security Research Group, durante la fase di testing, gli autori hanno scaricato e scansionato col tool oltre 4000 applicazioni Flash in giro per la rete.
All’incirca il 35% di queste viola alcune delle security best practices di Adobe.
Dati sensibili come chiavi di crittazione, username e password sono spesso memorizzate nel codice Flash client-side.
Inoltre su 250 applicazioni con un form di login, ben il 15% conteneva username e password hard-coded.
E’ disponibile un video che dimostra come questi tipi di vulnerabilità in applicativi Flash possono essere sfruttati.

Il tool supporta tutte le versioni pubbliche di Flash e include delle funzionalità in grado di identificare e evidenziare pratiche di programmazione non sicura, suggerendo di volta in volta le best practices.
SWFScan consente agli sviluppatori di fare auditing anche su applicazioni di terze parti, senza avere accesso ai sorgenti originali.
Maggiori informazioni si possono trovare sulla pagina delle FAQ di SWFScan.

RIFERIMENTI:
- HP publishes free security tool for Flash developers, by Heise Security
- Creating more secure SWF web applications, report from Adobe.

Le regole del firewall, vengono definite attraverso il tool nft: a seguito di un controllo sono convertite in operazioni e oggetti kernel.
Da un’occhiata agli esempi nella pagina di annuncio, sembra proprio che nftables abbia una sintassi differenta da iptables.
Le regole possono essere aggiunte in maniera incrementale da command line oppure venir lette da un file appositamente scritto.

Il codice di nftables è attualmente in status alpha: contiene quindi bugs e non tutte le features sono state implementate.
E’ quindi assolutamente sconsigliato un suo utilizzo in ambiente di produzione, anche se gli sviluppatori hanno confermato che è sufficientemente robusto per poter cominciare a fare i primi esperimenti in ambienti di test.
Stando a McHardy infatti: “…tutte le funzionalità base e gran parte del resto, dovrebbero funzionare correttamente. L’ultimo crash serio al kernel si è infatti verificato mesi fa.”.

RIFERIMENTI:
- New firewall for the Linux kernel, by Heise Security

Riferimenti:
- PHP 5.2.9 Release Announcement
- PHP 5.2.9 published, by Heise Security