Si chiude Maggio e vi segnalo quelli che secondo me sono stati i migliori articoli di PillolHacking di questo mese. Per restare aggiornati sulle attività del blog seguite gli aggiornamenti su Twitter. 1. DirectX + Quick Time = Zero Day 2. Attaccare Internet Information Server 6 con il bug WebDAV 3. I Mercanti delle Armi [...]
Questa volta tocca a DirectX. Dopo Excel e PowerPoint, colpiti da bug negli ultimi mesi, bug che hanno lasciato aperta la porta a zero day per diverse settimane, questa volta ad essere colpito da un bug che consente l’esecuzione di codice da remoto è un componente DirectX, in particolare quello che si occupa di gestire [...]
Per quale motivo craccare una password quando un meccanismo di autenticazione può essere aggirato? I server Internet Information Server (IIS) prodotti da Microsoft, dalla versione 5.0 alla 6.0 sono vulnerabili a un attacco che in alcuni casi permette l’accesso a risorse protette aggirando l’autenticazione. Al momento attuale non esistono patch per chiudere la falla ma [...]
Come funziona il mercato degli exploit? Cosa faccio se ho scoperto un bug, ho creato un codice che dimostra come sfruttate una vulnerabilità? A chi mi rivolgo? Gestire la fase che segue una scoperta non è facile: rilasciare pubblicamente le informazioni immediatamente o cercare prima di contattare le software house? Distribuire i codici al mercato [...]
Questa è veramente bella e ve la devo raccontare. Da alcuni giorni c’è in giro una nuova botnet che cresce al ritmo di circa 1600 nuove infezioni al giorno. Fin qui nulla di nuovo. La cosa singolare è il vettore di infezione. In genere le botnet si propagano tramite worm che sfruttano vulnerabilità diffuse, nuove [...]
