Avira AntiVir problemi di aggiornamento

Un aggiornamento di grosse dimensioni per gli utenti dei prodotti anti-virus Avira AntiVir ha causato problemi agli utenti della versione free Avira Antivir Personal.
Tentando di scaricare gli aggiornamenti delle ultime firme hanno riscontrato comportamenti anomali tra cui l’errata risposta da parte del programma che indicava che nessun update era disponibile.
Il problema è stato causato da un sovraccarico dei server Avira.

Dirk Knop, technical editor Avira, ha dichiarato che gli utenti dei prodotti Avira AntiVir Premium, Avira Premium Security Suite e Professional non hanno riscontrato alcun inconveniente visto che per le versioni a pagamento sono previsti server e banda dedicati.
I problemi (riscontrati ieri) sembrano al momento risolti e anche gli utenti della versione free dovrebbero essere in grado di aggiornare correttamente.
L’azienda ha dichiarato che nel giro di due settimane renderanno disponibile un sistema più performante in grado di far fronte alle elevate richieste di update quotidiane da parte delle versioni free.

Aggiornamento per PHP alla versione 5.2.11

Gli sviluppatori del linguaggio di programmazione PHP hanno rilasciato un update che porta l’ultima release alla versione 5.2.11.
L’aggiornamento si focalizza sulla stabilità apportando più di 75 bug fix, alcuni legati alla sicurezza.

Il team di sviluppo ha fixato la validazione certificati in php_openssl_apply_verification_policy e aggiunto dei sanity check in imagecolortransparent() e nel codice di processing dei file EXIF (Exchangeable Image File Format).
I dettagli completi sono visibili alla pagina delle Release notes.

Adobe e Oracle ritardano i loro patch days

Sia Adobe che Oracle hanno confermato il ritardo per i rispettivi patch days pianificati in ottobre.
Per Oracle la scelta è legata alla conferenza “OpenWorld 2009 Oracle” che si svolgerà tra l’11 e il 15 ottobre e che tipicamente attrae un gran numero di utilizzatori, amministratori e sviluppatori Oracle.
Questo onde evitare che gli interessati (in particolar modo gli amministratori) si trovino a scegliere tra aggiornare i sistemi e seguire i talk.
La data schedulata per il Critical Patch Update (CPU) trimestrale slitterà dal 13 al 20 ottobre.
I CPUs successivi sono invece previsti regolarmente per il 12 gennaio 2010, 13 aprile 2010 e 13 luglio 2010.

Adobe ha annunciato che la data prevista per i prossimi aggiornamenti per Adobe Acrobat e Reader sono previsti per il 13 ottobre.
Il vendor ha chiamato in causa le vulnerabilità scoperte di recente nella Microsoft Active Template Library (ATL), che affliggono numero prodotti.
Tutto ciò comporterà appunto un ritardo nel ciclo di patch trimestrale introdotto in primavera, visto che il fix su questi bug ha la priorità su quelli scoperti internamente.

RIFERIMENTI:
Adobe and Oracle delay their patch days, by Heise Security

Rilasciato NetBSD 5.0.1

Gli sviluppatori NetBSD hanno annunciato il rilascio di NetBSD 5.0.1, il primo aggiornamento di sicurezza per il sistema operativo NetBSD 5.0.
L’update risolve 11 problemi, tra cui quelli di Denial of Service (DoS) ai danni di BIND e DHCP, i buffer overflow in SHA2, ntp e hack, i bug in OpenSSL.

NetBSD 5.0 è stato rilasciato in aprile introducendo miglioramenti al threading e uno scheduler completamente riscritto.
Fixati con questo rilascio una serie di bug non legati alla sicurezza.
I dettagli completi dei cambiamenti introdotti disponibili nel file CHANGES-5.0.1.
NetBSD 5.0.1 è disponibile per il download.

Via Heise Security

Aggiornamenti per le versioni Java di Apple

Apple ha rilasciato Java for Mac OS X 10.4 Release 9 e Java for Mac OS X 10.5 Update 4 per fixare alcune note vulnerabilità di sicurezza riguardanti la piattaforma Java.
A metà maggio, l’esperto di sicurezza Landon Fuller aveva pubblicato un exploit per Mac OS X, dimostrando quanto fosse semplice sfruttare la vulnerabilità Java.
Fin da allora Apple è stata ampiamente criticata per lasciare i propri utenti “non protetti” cosi’ a lungo.
Un’altro esperto di sicurezza, Rich Mogull, ha proposto l’introduzione di un programma “Secure Software Development” per prodotti Apple più importanti e la nomina di un Chief Security Officer (CSO) che faccia da coordinatore e da elemento trainante affinchè Apple possa rispondere in modo più veloce ed efficiente alle problematiche di sicurezza.

L’aggiornamento della “Mela” include i fix per alcune vulnerabilità critiche in Java 1.6, 1.5 e 1.4.
Una falla “extra” non riportata da Fuller è stata patchata in Mac OS X 10.5: era possibile per applet Java non firmate ottenere i privilegi per eseguire codice malevole.
L’aggiornamento rilasciato da Apple tuttavia incorpora la versione Java 6 Update 13, nonostante alla fine di maggio sia stato rilasciato l’update 14.
Stando a Sun tuttavia l’aggiornamento Java 6 Update 14 non chiude alcuna vulnerabilità, ma aggiunge una nuova funzionalità “blacklist”.
Grazie a questa, il Java Plug-in e Web Start controllano una blacklist per verificare se caricare o meno eventuali jar “malevoli” o non sicuri.

FONTE: Apple closes vulnerabilities in Java by Heise Security