Dopo alcune statistiche sono giunti ai seguenti punti:

1. Oltre 99% degli utenti che navigano sul web utilizzano Adobe Flash;
2. Uno studio ha dimostrato che l’80% degli utenti non ha Flash aggiornato all’ultima versione invece dai dati del traffico di Mozilla.com risulta che il 75% degli utenti non ha aggiornato tale plugin!

Come vi avevo parlato la settimana scorsa Mozilla, dopo aver visto questi risultati agghiaccianti, ha deciso di inserire nel recente aggiornamento di Firefox un avviso che sarebbe apparso a tutti quelli che utilizzano Flash; il risultato?? Oltre 10.000.000 di click sono stati effettuati verso la pagina di Adobe.com per permettere l’aggiornamento all’ultima versione!

Dopo questo ottimo risultato sono stati effettuati ulteriori studi sui dati acquisiti:

Grafico Visite

I dati hanno dimostrato che l’avviso di Mozilla ha sortito un bel effetto! Su questi 10 milioni di click il dato impressionante è il clicktrought, cioè la percentuale di click sul totale delle impressioni; risultato: 30%!! Davvero notevole se si tiene conto che Mozilla ha ammesso di avere un clicktrought del 5% sulle sue pagine “Whats New”, cioè la pagina mostrata dopo ogni aggiornamento di Firefox!

La sicurezza non passa di sicuro inosservata nemmeno ai meno esperti! Questo è il vero dato che emerge! Per questo motivo la Mozilla Foundation ha deciso di proseguire tale progetto, cercando di mantenere i propri utenti sempre aggiornati e al sicuro!

Related posts:

1. Mozilla: 80% degli utenti usa versione vulnerabile di Adobe Flash!
2. Mozilla: utenti di Firefox 2 aggiornate alla 3!!
3. Mozilla sistema i bug

La ricerca è stata comunicata da H-online.com che ha sottolineato come in un campione di utenti circa l’80% ha una versione vulnerabile di Adobe Flash Player il più famoso plug-in attualmente in circolazione. Molti dei bug che affliggono le vecchie versione sono veramente pericolosi in quanto permettono di prendere il controllo del PC da remoto.

Per questo motivo la Mozilla Foundation ha inserito una porzione di codice, nell’ultima versione di Firefox, che avvisa l’utente di aggiornare Adobe Flash nel caso avesse una versione obsoleta!

Avviso Mozilla: Adobe update flash

Come potete vedere la pagina, creata appositamente, rimanda al sito della Adobe in cui è possibile aggiornare il plug-in.

Sito che risponde a questo indirizzo, per chi di voi lo volesse aggiornare: http://get.adobe.com/flashplayer/.

L’articolo della Mozilla finisce così:

Mozilla will work with other plugin vendors to provide similar checks for their products in the future. Keeping your software up to date remains one of the best things you can do to keep yourself safe online, and Mozilla will continue to look for ways to make that process as easy as possible for its users.

La Mozilla si impegna ad accordarsi con altri produttori per cercare di mantenere i prodotti degli utenti aggiornati e privi di rischi.

Related posts:

1. Mozilla: oltre 10 milioni gli utenti vulnerabili sistemati!
2. Opera e Flash: bug!
3. Firefox blocca i Plugin non sicuri!

A scoprire la vulnerabilità che lega il Flash con il protocollo Universal Plug ‘n Play (UPnP) dei router sono stati due ricercatori del gruppo Gnucitizen.org.

Ecco in sintesi cosa è il protocollo UPnP: Universal Plug and Play (UPnP) è un protocollo di rete creato dall’UPnP Forum. L’obiettivo della tecnologia UPnP è quello di permettere a diversi terminali di connettersi l’uno all’altro e di semplificare drasticamente l’utilizzo di reti domestiche (condivisione dati, comunicazioni e intrattenimento) e aziendali. Il termine UPnP deriva da Plug and play che in inglese significa letteralmente Inserisci e gioca e che indica la possibilità di utilizzare un componente non appena viene connesso al computer o alla rete. (fonte: Wikipedia)

Il sistema per sfruttare la vulnerabilità è molto facile, invece sembra parecchio difficile trovare una soluzione a questo bug!

Dall’articolo pubblicato dai due ricercatori (vedi articolo) si evince come il problema non sia localizzato in una mancanza di validazione da parte di Apple (proprietaria del linguaggio Flash, ndr), per tanto la risoluzione del problema potrebbe avvenire con più difficoltà. Gli autori hanno per tanto deciso di pubblicare un articolo (vedi articolo) in cui scrivono come la soluzione migliore a questo problema sia una corretta informazione.

In dettaglio la vulnerabilità scovata nel “triangolo” router-Upnp-Flash permette ad un utente malintenzionato di scavalcare le protezioni del router e di modificare il DNS primario, in poche parole il DNS è quello che viene utilizzato per la risoluzione dei nomi a dominio (http://www.orebla.it, esempio) nel suo indirizzo IP numerico. Così che tutti gli spammer e pirati del web possono reindirizzare a loro piacere siti importanti di banche.

In Microsoft Excel è stato localizzato un bug che permette l’esecuzione di codice da remoto e permetterebbe anche la compromissione del sistema.

A rilasciare il bollettino di sicurezza è Secunia (vedi bollettino), famosa società da sempre specializzata nella sicurezza informatica e tecnologica. Ancora una volta ad essere oggetto del bug è l’intestazione dei file .xls, sembra infatti che un header malformato possa causare l’esecuzione di eventuale codice maligno.

Sembra anche che un exploit sia già disponibile in rete, al momento Microsoft non ha rilasciato nessun aggiornamento anche se è già stata informata della vulnerabilità. E comunque l’exploit non viene attivato fino a che l’utente non apre il file incriminato, per tanto consigliamo a tutti di non aprire file nei formati di excel se non se ne conosce la provenienza.

I possessori dell’ultima versione di Office (la 2007, ndr) e quindi di Microsoft Excel 2007 possono stare tranquilli, in quanto la vulnerabilità colpisce solamente le precedenti versioni.

In dettaglio le versioni afflitte dalla vulnerabilità:

• Microsoft Office Excel 2003 Service Pack 2
• Microsoft Office Excel Viewer 2003
• Microsoft Office Excel 2002
• Microsoft Office Excel 2000
• Microsoft Excel 2004 for Mac

Related posts:

1. Microsoft: aggiornamenti Maggio 2009
2. Mozilla: 80% degli utenti usa versione vulnerabile di Adobe Flash!
3. Opera e Flash: bug!