.NET Micro Framework: presto opensource?

Sembra che Microsoft stia prendendo in considerazione l’idea di rendere disponibile il codice sorgente di .NET Micro Framework (MF) con licenza open source.
L’attuale team di MF sarà spostato nella divisione “Microsoft Server and Tools”.
Questa decisione pare sia il frutto dell’annuncio della scorsa settimana di adottare una serie di misure per la riduzione dei costi.
Il team ha confermato lo spostamento deciso dai “piani alti”, e in virtù appunto di questo auspica un maggiore coinvolgimento e partecipazione della comunità online.

Micro Framework è un runtime .NET per devices “ridotti” che non sono supportati dal Microsoft .NET Compact Framework o dalla versione embedded Windows CE.
Il framework non supporta sistemi operativi real time, ma supporta processori ARM7 e ARM9 e dispone della funzionalità di garbage collection per la memoria.

RIFERIMENTI:
.NET Micro Framework could become open source, by Heise OpenSource

Processi separati per le future versioni di Firefox

Secondo quanto riportato sul wiki di Mozilla, le prossime versioni di Firefox utilizzeranno due processi distinti per interfaccia grafica e gestione dei contenuti web delle pagine.
A differenza di Google Chrome e Internet Explorer 8, i tab non avranno processi dedicati: questa modifica è “prevista” molto più avanti nel tempo.

Gli sviluppatori Mozilla affermano che i vantaggi saranno tutti in performance e stabilità: utilizzare processi separati per l’UI e per i contenuti consentirà di avere un browser che non si blocca quando ci sono problemi con un sito web. Le versioni attuali di Firefox sono costituite da un unico processo.
Un’anteprima semi-funzionante del browser è prevista per metà luglio, seguita dal rilascio della maggior parte del codice per l’inizio di Novembre assieme a tweaks su performace e stabilità.
Ignota invece la data di un rilascio finale.

Mozilla sta altresì prendendo in considerazione l’idea di utilizzare lo stack di rete “preso” da Chromium per rimpiazzare Necko, la loro libreria di rete.

RIFERIMENTI:
Future Firefox to run separate processes, by Heise Open Source

Rilasciato OpenOffice 3.1

Dopo l’apparizione su vari mirrors, OpenOffice 3.1 è stato finalmente rilasciato in maniera ufficiale.
La nuova versione include svariate migliorie, tra le più evidenti i miglioramenti all’anti-aliasing per la grafica vettoriale, permettendo così di avere grafici e diagrammi con un look&feel più accattivante.
Altra novità la possibilità di includere campi proprietà custom definiti dall’utente nei documenti
Una analisi delle nuove features è consultabile qui in questo articolo: OpenOffice 3.1: The new features.

OpenOffice 3.1, nelle sue versioni per Windows, Linux, Solaris e Mac OS X è scaricabile gratuitamente dal sito ufficiale di OpenOffice.

Exploits dimostrativi per due nuove falle di Adobe Reader

Su Internet circolano exploits dimostrativi per due nuove vulnerabilità di Acrobat Reader.
Stando al SecurityFocus bug database le versioni interessate dal problema sono la 9.1 e la 8.1.4.
Ancora non è disponibile un aggiornamento software che risolva la falla, e comincia ad aumentare la “paura” del diffondersi di documenti pdf infetti che possano causare la diffusione di malware.

La stessa Adobe ha confermato che attualmente tutte le versioni supportate di Adobe Reader (9.1, 8.1 e 7.1.1) sono vulnerabili. Il consiglio è quello di disattivare il suppurto Javascript per limitare il problema.
Gli aggiornamenti dovrebbero essere resi disponibili il prima possibile.
Tutti gli utenti che vogliono evitare strane “sorprese” nascoste dentro i file PDF, dovrebbero orientarsi verso un reader pdf (magari gratuito) alternativo e disinstallare Adobe Reader.

Approfondimenti:
* Demo exploits for new vulnerabilities in Adobe Reader, by Heise Security
* Adobe Reader ‘getAnnots()’ Javascript Function Remote Code Execution Vulnerability, SecurityFocus post.
* Adobe Reader ‘spell.customDictionaryOpen()’ JavaScript Function Remote Code Execution Vulnerability, SecurityFocus post.
* Potential Adobe Reader Issue, Adobe’s response.
* Update on Adobe Reader Issue, Adobe’s follow up response.
* F-Secure advises against using Adobe Reader, report from The H Security.

Oracle pubblica 43 patches

Oracle ha pubblicato ben 43 aggiornamenti nel suo Critical Patch Update di aprile, chiudendo anche parecchie vulnerabilità di sicurezza.

Oracle Database Server è interessato da patches riguardanti ben 16 bugs, due dei quali consentono di lanciare exploits che non richiedono alcun tipo di autenticazione.
Nonostante questo entrambe hanno ottenuto un CVS-Score (Common Vulnerability Scoring System) di 5.
12 patches anche per Oracle Application Server, mentre solo 3 per Oracle E-Business Suite and Applications.

Piu’ gravi invece le vulnerabilità riguardanti la suite BEA (8 patches), con punteggi CVS fino a 10 per i prodotti JRockit e WebLogic Server.
La patch per JRockit include i fix per 14 problemi riguardanti la JRE (Java Runtime Environment) di Sun Microsystems: tutti bugs noti già da dicembre.

RIFERIMENTI:
* Oracle publishes 43 security updates, by Heise Security
* Oracle Critical Patch Update Advisory – April 2009, advisory from Oracle.

Seri problemi di sicurezza per Mac OS X

Attualmente in circolazione ci sono parecchi exploits per vulnerabilità di Mac OS X non ancora patchate.
Da alcuni test effettuati dal team di Heise Security, uno di questi permette ad un normale utente Mac OS X 10.5.6 di ottenere i privilegi di amministratore.
Il problema è riscontrabile quando si tenta di montare immagini disco HFS corrotte (le .ISO per Mac).
L’exploit è costituito da uno shell script e da un sorgente C in grado di generare l’immagine disco corrotta, che una volta caricata consente di eseguite codice per ottenere i privilegi di root.

Gli altri exploits sfruttano delle vulnerabilità di alcune chiamate di sistema (CTL_VFS, SYS___mac_getfsstat e SYS_add_profil) che permettono ad utenti loggati di far crashare il sistema.
Un ulteriore bug in AppleTalk permette di realizzare un buffer overflow.

Resta ignoto se Apple è stata informata di questi problemi.
Sul suo sito web digit-labs.org, l’autore degli exploits scrive che ha già mostrato al recente CanSecWest 2009 i problemi in questione.

RIFERIMENTI:
* Root exploit for Mac OS X, by Heise Security
* Recent Additions, Overview of the exploit for Mac OS X.
* Pwn2Own 2009: Safari, IE 8 and Firefox exploited, a report from The H.

Disponibile Nessus 4.0

Tenable Network Security ha annunciato pochi giorni fa il rilascio della versione 4 del suo vulnerability scanner Nessus.
Nessus è un network scanner in grado di individuare vulnerabilità in singoli sistemi o reti di computer, prevenendo così attacchi informatici di vario genere. Tra le sue funzionalità anche la capacità di verificare sugli host di una rete la presenza di prodotti antivirus correttamente aggiornati.

La nuova release supporta ora il multi-threading, migliorando così le prestazioni e riducendo il tempo impiegato per completare una scansione.
Aggiunta anche la possibilità di creare report personalizzati dei risultati grazie a XSLT.
Sia su sistemi Windows che Unix-based viene usato lo stesso motore di scansione e meccanismo di TCP SYN port scan. Tutti i tools da riga di comando sotto Unix/Linux funzionano ora perfettamente anche su Windows.
La versione 4.0 non dipende piu’ da librerie esterne, rendendo l’installazione e la configurazione piu’ semplici.
Il Nessus Attack Scripting Language (nasl) è stato inoltre rivisto e ampliato grazie al nuovo supporto per il parsing XML e funzionalità di rete varie.

Nessus 4.0 è disponibile gratuitamente per uso personale e non-aziendale, ma richiede agli utenti l’indirizzo e-mail per la registrazione.
La licenza annuale professional costa 1200$.
Maggiori informazioni circa il rilascio può essere recuperate tra le FAQ di Nessus 4.0 e la documentazione fornita.
Disponibile direttamente per il download qui: http://www.nessus.org/download/.

RIFERIMENTI:
Version 4 of the Nessus vulnerability scanner released, by Heise Security

Conficker ora si aggiorna!

Trend Micro segnala che il worm Conficker.C (o Downad) ha effettivamente iniziato a scaricare gli aggiornamenti (tanto annunciati).
In ogni caso non da quei siti web che erano sotto controllo ma bensi’ attraverso la sua funzionalità P2P.
Gli esperti hanno rilevato questo comportamento osservando il traffico di rete su un sistema infetto e le modifiche alla cartella Temp di Windows.
A differenza delle altre due varianti, Conficker.C è in grado di stabilire una rete peer-to-peer con gli altri sistemi infetti e puo’ utilizzarla per scaricare ulteriori programmi e/o ricevere comandi remoti.
Stando a quanto rilevato da Trend Micro pare che questa “operazione P2P” sia in piena esplosione.

Nel caso del sistema sotto osservazione è stato rilevato il download e successiva installazione di un aggiornamento criptato da un nodo P2P in Corea.
Il worm è mutato nella variante .E, che mostra nuove caratteristiche.
In particolare tenta di cancellare le proprie tracce, eliminando voci di registro esistenti e utilizzando da quel momento in poi nomi di file e servizi in maniera random.
Il worm si mette in ascolto sulla porta TCP 5114, in attesa di richieste in grado di essere processate dal mini-server HTTP interno.
Si connette a myspace.com, msn.com, ebay.com, aol.com cnn.com al fine di verificare se c’è una connessione Internet attiva.

A quanto pare il worm sta continuando a diffondersi unicamente attraverso la vulnerabilità di Windows.
BitDefender ha fatto sapere che la nuova variante blocca l’accesso non solo al sito web di BitDefender, ma anche a quelli di numerosi security vendors che offrono tools per la rimozione di Conficker in tutte le sue varianti.

Le analisi hanno evidenziato come l’ultima versione di Downad/Conficker dovrebbe disabilitarsi il 3 maggio 2009. Non appare ancora chiaro se siano previsti ulteriori aggiornamenti prima di allora.
Alcuni esperti hanno evidenziato sporadici collegamenti a domini legati alla botnet Waledac.
Anche Symantec ha riscontrato un comportamento analogo.
Un file scaricato da Conficker (484528750.exe) si pensa contenga il bot Waledac.
Tuttavia a parte questo, finora, ne’ Trend Micro, ne’ Symantec si sono sbilanciati circa questa “interconnessione” tra Conficker e Waledac.

Sul sito di Heise Security e’ disponibile una pagina con le principali informazioni su Conficker e collegamenti a test per verificare un’eventuale infezione della propria macchina.
Vengono elencati anche i principali e piu’ importanti tools e scanners per la rimozione.

RIFERIMENTI:
Conficker now definitely downloading updates, by Heise Security
The H Security Conficker information site

Pericolosa falla nel plugin Formats di IrfanView

E’ stata riscontrata una vulnerabilità piuttosto critica nel plugin Formats (format.dll) del noto software IrfanView.
Stando al security advisory di Secunia, il problema risiede in un integer overflow nella fase di processing di files XPM di specifiche dimensioni.
La vulnerabilità può essere potenzialmente sfruttata per compromettere il sistema di un utente e infettarlo con un malware.
Il software IrfanView nella sua installazione di default non contiene il problema.
E’ necessario che sia stato installato a posteriori il plugin “buggato”.
La versione interessata è la 4.22, mentre la versione 4.23 corretta è già disponibile per il download diretto.

Riferimenti:
* Critical vulnerability in plug-in for IrfanView image viewer, advisory from Heise Security.
* IrfanView Formats Plug-in XPM Parsing Integer Overflow, advisory from Secunia Research.

Ricercatori tedeschi sviluppano un network scanner per individuare Conficker

Felix Leder e Tillmann Werner dell’università di Bonn hanno analizzato il worm Conficker e hanno scoperto che cambia il modo in cui Windows risponde ad alcune chiamate di sistema.
Questa caratteristica puo’ quindi essere sfrutta per individuare in maniera remota i sistemi che sono stati infettati dal worm.

In particolare invocando la funzione NetpwPathCanonicalize(), che contiene la vulnerabilità attraverso cui il worm si diffonde.
Quando la macchina è infetta, Conficker intercetta e gestisce le chiamate a questa funzione, modificando in alcuni casi le risposte.
Affinchè questo test abbia successo è necessario che la porta TCP 445 sia accessibile.
Tipicamente questa porta non è accessibile (e non dovrebbe esserlo) attraverso da Internet.

Conficker worm NetpathCanonicalize function

Leder e Werner hanno realizzato uno scanner per dimostrare la veridicità di quanto scoperto.
In collaborazione con Dan Kaminsky, hanno inoltrato l’informazione al Conficker Working Group e altri esperti di sicurezza.
In questo i tool di scansione disporranno presto di questa funzionalità: in particolare Kaminsky ha annunciato estensioni per nmap, Tenable (Nessus), McAfee/Foundstone, ncircle e Qualys.
A quanto pare domani 1 aprile Conficker.C scaricherà da Internet degli aggiornamenti al proprio codice.
Gli effetti di questi updates non sono al momento conosciuti.
Attualmente molti produttori anti-virus offrono tools specifici per rimuovere Conficker.
In ogni caso la soluzione migliore per un sistema infetto è la reinstallazione del sistema operativo e l’eventuale ripristino di una copia “pulita” dei dati di backup.

RIFERIMENTI:
* German researchers develop network scan for Conficker worm, by Heise Security
* Detecting Conficker, announcement from the Honeynet Project.
* Scanner download, a ZIP file.