Google Chrome e IE, attenti a quei due

Google ha rilasciato una nuova versione del proprio browser: sistema una grave vulnerabilità sfruttabile via Internet Explorer

Roma – La scorsa settimana Google ha corretto una grave falla di sicurezza nella release stabile del suo giovane ma già famosissimo web browser Chrome. Lo ha fatto rilasciando la versione 1.0.154.59, che gli utilizzatori di Chrome dovrebbero già ritrovarsi installata grazie al sistema di aggiornamento automatico incluso nel programma di Google.

Il problema di sicurezza, segnalato per la prima volta a inizio aprile da un ricercatore di IBM, Roi Saltzman, esponeva gli utenti al rischio di subire attacchi di tipo cross-site scripting (XSS), forme di attacco spesso utilizzate nelle truffe online o per impersonare l’identità di un altro utente.

Secondo quanto spiegato in questo blog dal program manager di Google Chrome, Mark Larson, il bug risiede nel componente chromehtml e, in certe condizioni, “potrebbe consentire ad un aggressore di far girare degli script a propria scelta su qualsiasi pagina o elencare i file che si trovano nel disco locale”.

Va però sottolineato che, al momento, l’unico modo scoperto da Larson per sfruttare la vulnerabilità è quello di utilizzare come vettore di attacco Internet Explorer. Lo sviluppatore ha infatti spiegato che visitando una pagina maligna con IE Google Chrome potrebbe eseguirsi in automatico, aprendo schede multiple e caricano script maligni. Ma Larson sottolinea che “questo tipo di attacco funziona esclusivamente quando Chorme non è già in esecuzione”. ( Update : come fa notare un lettore sui forum, nell’advisory originale quest’ultima frase è stata cancellata: ciò significa che l’attacco funziona anche se Chrome è già in esecuzione ).

L’ultima versione stabile di Google Chrome può essere scaricata da qui in italiano.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Romano Rapallini scrive:
    prodotto che risolve
    un prodotto che risolve in pieno le problematiche dell'obbligo dei log è questohttp://www.legallogger.comche oltre a d apporre una firma digitale ai logvi appone anche una marca temporale rilasciata da infocamere.
  • Graziano Garrisi scrive:
    Sanzioni
    Vorrei precisare che il provvedimento in esame non è nè una misura minima (con responsabilità penali in caso di omissione) nè una misura idonea (con responsabilità civilistiche in caso di omissione), bensì è una misura c.d. "necessaria" (art. 154, comma 1, lett. c) sanzionabile ai sensi dell'art 162 comma 2 ter
  • Garlini Valter scrive:
    Altri costi per le nostre imprese...
    ... un'altra mazzata alla competitività !Ma quando capiranno che questi garanti NON solo sono inutili, ma assolutamente dannosi per collettività, aziende e persino per l'effetto serra. I trilioni di tonnellate di carta che, solo in Italia, sono necessarie per adempiere alle stupidissime ed inutili norme sulla privacy costituiscono un costo pesantissimo per le imprese che sono costrette a far firmare ai Clienti decine e decine di pagine anche solo epr aprire un conto corrente !E poi perché queste cose accadono solo in Italia... perché NON c'è una norma simile sugli Amministratori di Sistema in Francia o Germania ?Spero ora sia chiaro a tutti perchè in quanto a burocrazia le classifiche internaziali vedono l'Italia salire sampre più in alto, mentre in quanto a libertà economica caliamo sempre più in basso !Adesso veramente è giunta l'ora di finirla con queste caz.... altrimenti i Cittadini cominceranno ad inc...... sul serio !
  • tizio incognito scrive:
    pmi
    il grosso problema qui e' che questi provvedimenti sembrano pensati per grosse organizzazioni, mentre la maggior parte della realta' industriale o di servizi italiana e' composta da microditte sotto i 15 dipendenti, magari con 2 computer dove un paio di persone fanno tutto il lavoro di ufficio.per questo tipo di realta' tutte queste normative costituiscono un peso non indifferente.
  • Jack scrive:
    Il "Garante"
    a) Il "Garante" è un ente di facciata, fatto per illudere che si tuteli la "privacy". In realtà chi vuole violare i dati personali lo fa con comodità.b) Il "Garante" è un'istituzione Italiana e quindi in fatto di competenza... devo aggiungere altro?c) Il "Garante" deve giustificare il suo bilancio, quindi ogni tanto "fa qualcosa".d) I provvedimenti del "Garante", fateci caso, rendono arbitrariamente perseguibili praticamente tutti, perchè sono fumosi e spesso inapplicabili fino in fondo.
    • QuiQuoQua scrive:
      Re: Il "Garante"
      Quoto tutto, vorrei aggiungerne molte altre, ma sembra solo che il garante ogni tanto parli solo per giustificarsi lo stipendio (e complicare la vita agli altri, facendo spendere pure valange di danaro in consulenze esterne senza arrivare a nulla.
    • nervous scrive:
      Re: Il "Garante"
      grandissimo, il punto C e' quello che preferisco e quello che reputo più plausibile di tutti :)
    • tepossino scrive:
      Re: Il "Garante"
      - Scritto da: Jack
      c) Il "Garante" deve giustificare il suo
      bilancio, quindi ogni tanto "fa
      qualcosa".Amen. La Verità. Andrebbe scolpita nel basalto ad imperitura memoria.
      d) I provvedimenti del "Garante", fateci caso,
      rendono arbitrariamente perseguibili praticamente
      tutti, perchè sono fumosi e spesso inapplicabili
      fino in
      fondo.come ogni legge dello Stato. ad esempio, visto che è periodo, fatevi un giro sul sito dell'agenzia delle entrate. l'agenzia emana migliaia di circolari perché quando si tratta di applicare una legge nessuno sa mai come interpretarla, tanto è fumosa. ogni norma si accompagna ad almeno un paio di circolari che spiegano (dopo che è entrata in vigore e magari qualcuno ci è rimasto fregato) come l'agenzia in realtà la interpreta... tutto ciò è pazzesco.
    • vuoto scrive:
      Re: Il "Garante"
      hehehe hai fatto centro.Se il potere di turno vuole che certe regole siano rispettate, non mette su strutture parallele come authorities e garanti che devono 1. decollare (soldi strutture) 2. decidere (leggi ad hoc) 3. obbedire (controllo politico dei dirigenti)Invece, semplicemente, il potere mette su una legge e fa pressioni sulle forze dell'ordine perche' tra le miriadi di leggi e leggine sia fatta rispettare piuttosto quella.Come esempio, v. leggi su bollino siae.
    • OldDog scrive:
      Re: Il "Garante"
      - Scritto da: Jack
      a) Il "Garante" è un ente di facciata, fatto per
      illudere che si tuteli la "privacy". In realtà
      chi vuole violare i dati personali lo fa con
      comodità.

      b) Il "Garante" è un'istituzione Italiana e
      quindi in fatto di competenza... devo aggiungere
      altro?

      c) Il "Garante" deve giustificare il suo
      bilancio, quindi ogni tanto "fa
      qualcosa".

      d) I provvedimenti del "Garante", fateci caso,
      rendono arbitrariamente perseguibili praticamente
      tutti, perchè sono fumosi e spesso inapplicabili
      fino in
      fondo.Frasi fatte. Mi spiace, ma tagli i panni agli altri perché, come molti in questo settore, non ne vuoi sapere di comportamenti trasparenti e di tutela. Sono anni che si sminuisce il tema della tutela della privacy, perché troppi interessi economici vogliono mani libere per ogni abuso possibile.Che l'istituto del Garante sia stato costruito monco, nei poteri e nei fondi economici, è già indice del volere affossare ogni azione a tutela del cittadino.Invece si stracciano le vesti gli amministratori che se ne guardano bene dal dover rispondere di continue "sbirciate" tra dati, stampe in spool ed e-mail. Gente che installa quello che gli pare, inclusi P2P ad uso personale che sfruttano la banda internet aziendale, che si sentono Hacker perché leggono le buste paga dei colleghi e se le commentano alla macchinetta del caffè.Oppure i dirigenti che gridano alla riduzione dei costi, e per pagare meno le licenze fanno condividere una stessa login da più dipendenti, invalidando la possibilità di assegnare una "identità elettronica" a chi ha operato su di un sistema. Gli stessi che si affrettano a pretendere dai loro schiavi personali (pardon, "collaboratori") le password di rete e posta elettronica, per poter "leggere e controllare" i loro sistemi quando vogliono, ed incidentalmente approfittarne per fare a nome d'altri operazioni in "conflitto di interessi" tipo scrivere pratiche d'ordine e - a nome d'altri - autorizzarsele.Certo, il garante non ha sempre buoni consulenti, ma insistere che concetti come il Piano di Sicurezza dei sistemi, la valutazione di rischio, le misure preventive e di protezione, le procedure di backup e di disaster recovery, siano "inapplicabili e costosi" vuol dire vivere in coppa al Vesuvio pronti a imprecare alla Natura Assassina che un giorno ci spazzerà via la casa.Provate a rispettare la sostanza e lo spirito, non impuntandosi sulla "lettera", della Sicurezza dei sistemi e vedrete che uscirete vivi da qualsiasi indagine. Si può fare, e c'è chi lo fa tutti i giorni senza venire a strillare contro il Garante. Ah, non sto vantando il mio ruolo, che io non sono amministratore da anni, ma ho avuto il piacere professionale di lavorare con amministratori competenti e preparati, che facevano anni fa quanto il decreto (allora) 675 provava a descrivere 13 anni fa.
  • mattomattom atto scrive:
    fesserie
    tecnicamente per fare quel che si chiede serve utilizzare tutti sistemi dotati di mandatory access control; il che aumenta la complessita' di configurazione e gestione di diversi ordini di grandezza, con conseguente lievitamento enorme dei costi; chi paga?
  • uffa scrive:
    i politici non hanno idea
    Questi signori non hanno idea di cosa stanno facendo...un lavoratore onesto si ritrova 6 mesi a lavorare per lo stato per pagare le tasse e 2 mesi a lavorare per la burocrazia e 1 mese a fare il poliziotto, si perche' uno e' costretto tutti i santi giorni a controllare liste dell'aams e del min dell'interno per oscurare tramite dns i siti su tali liste... e 3 mesi per mantere se e la propria famiglia, io sono 6 anni che non riesco a prendermi un giorno di ferie.Se lo stato vuole questi servizi dai provider che li paghi... Questi signori quando fanno queste leggi devono pensare all'impatto che creano e visto che parlano di resposabilità dovrebbero essere i primi a risponderne.Io personalmente ho deciso di ricominciare da un'altra parte.. ciao italia
    • tepossino scrive:
      Re: i politici non hanno idea
      - Scritto da: uffa
      Questi signori non hanno idea di cosa stanno
      facendo...non hanno idea perché a legiferare non sono certo tecnici competenti. e già qui vedi l'assurdo: pretendono persone competenti come a.d.s. e loro per primi sono dei buffoni.ma soprattutto a legiferare sono politici in carriera nominati dai partiti che non rispondono all'opinione pubblica.
      Io personalmente ho deciso di ricominciare da
      un'altra parte.. ciao
      italiati ammiro, e nell'ammirarti rimango sconfortato e depresso nel pensare che il Paese si svuota delle migliori professionalità che non è in grado di valorizzare.
  • anonimous scrive:
    provvedimento a metà
    come tutte le cose all'italiana.Si fa un provvedimento senza nemmeno capire come poi bisognerà applicarlo.1. La figura del AdS non esiste.Non cè un albo / contratto di lavoro / quellochevuoi che possa affermare che una data persona è o non è, ha o non ha le capacità per essere un AdS. ( basti pensare che molti informatici hanno come contratto di lavoro quello dei metalmeccanici )E' un po come se avessero fatto la legge che impone agli architetti di firmare i progetti senza prima creare l'albo degli architetti.2. In questo provvedimento di parla di rensponsabilità, responsabilizziamo e mettiamo dei paletti, delle penali per chi non li rispetta, ok... ma... a me hanno sempre insegnato che a maggior responsabilità corrisponde maggior guadagno... e qui non cè niente di tutto questo...Allora vogliamo fare le cose seriamente? Seriamente, guardiamo le cose come stannoAd oggi nelle piccole imprese la figura del AdS non esiste, è svolta bene o male da un "informatico" con non si sa quali qualifiche ( smanettone ? perito informatico? non si sa)Se guardiamo le medie/grandi imprese invece la figura del AdS è svolta di solito da un dipendente della stessa impresa che ovviamente si vede aumentare paurosamente le resposabilità per avere ZERO in più sulla busta paga.E e le società di outsourcing? belle quelle, utilizzano solo co.co.pro.Se si vogliono fare le cose seriamente prima di tutto bisogna:1- Creare un albo o una certificazione di AdS2- Stabilire responsabilità e COMPENSI di un AdS
    • panda rossa scrive:
      Re: provvedimento a metà
      - Scritto da: anonimous
      come tutte le cose all'italiana.
      Si fa un provvedimento senza nemmeno capire come
      poi bisognerà
      applicarlo.

      1. La figura del AdS non esiste.
      Non cè un albo / contratto di lavoro /
      quellochevuoi che possa affermare che una data
      persona è o non è, ha o non ha le capacità per
      essere un AdS. ( basti pensare che molti
      informatici hanno come contratto di lavoro quello
      dei metalmeccanici
      )E molti sysadmin hanno posato la zappa solo il giorno prima e hanno le mani ancora sporche di terra.
      E' un po come se avessero fatto la legge che
      impone agli architetti di firmare i progetti
      senza prima creare l'albo degli
      architetti.Con la non banale differenza che il concetto di "architetto" ha attraversato almeno 2000 anni di storia, tanto che oggi chiunque ha una vaga idea di che cosa un architetto sia e che cosa faccia.Gli amministratori di sistema invece neppure loro stessi sanno chi sono e che cosa fanno.
      2. In questo provvedimento di parla di
      rensponsabilità, responsabilizziamo e mettiamo
      dei paletti, delle penali per chi non li
      rispetta, ok... ma... a me hanno sempre insegnato
      che a maggior responsabilità corrisponde maggior
      guadagno... e qui non cè niente di tutto
      questo...Fosse solo il maggior guadagno il problema!Il problema e' la situazione pregressa.Tu arrivi in una bella realta' aziendale, ti mettono in testa il cappellino di sysadmin, ti danno lo stipendio che chiedi, e da quel momento sono solo ca@@i tuoi!Gli applicativi, i log, i db sono TUTTI fuori norma e non puoi far niente per impedirlo a meno di non bloccare tutta l'azienda.E a quel punto che fai?a) ti adeguib) ti togli il cappellino e rassegni le dimissioni all'istante
      Allora vogliamo fare le cose seriamente?
      Seriamente, guardiamo le cose come stanno
      Ad oggi nelle piccole imprese la figura del AdS
      non esiste, è svolta bene o male da un
      "informatico" con non si sa quali qualifiche (
      smanettone ? perito informatico? non si
      sa)L'importante e' che se succede qualcosa, la colpa sia sua!
      Se guardiamo le medie/grandi imprese invece la
      figura del AdS è svolta di solito da un
      dipendente della stessa impresa che ovviamente si
      vede aumentare paurosamente le resposabilità per
      avere ZERO in più sulla busta
      paga.Talvolta aumentano pure le ore di lavoro non remunerato.
      E e le società di outsourcing? belle quelle,
      utilizzano solo
      co.co.pro.No. Anche gente con partita iva.
      Se si vogliono fare le cose seriamente prima di
      tutto
      bisogna:
      1- Creare un albo o una certificazione di AdSDa dove si comincia?
      2- Stabilire responsabilità e COMPENSI di un AdSSi finira' che lo stipendio finisce in una tasca e le responsabilita' in un'altra.
    • Valeren scrive:
      Re: provvedimento a metà
      Capisco la criticità, ma un nuovo albo non è mai una soluzione.I requisiti dovrebbero essere le certificazioni e la responsabilità che il ruolo comporta - vedi recenti eventi a Milano.Questo porterebbe a limitare il numero di falsi AdS drasticamente, permettendo di aumentarne il relativo stipendio perché semplicemente saranno pochi, e quindi più cari.Utopistico perché servirebbero:1) una legge punitiva, e molto, sia per l'AdS che per l'azienda (prendi uno smanettone e ci sono danni? Ne rispondete entrambi);2) controlli (Italia controlli);3) certezza della pena (no comment).
  • Corrado Conti scrive:
    Provvedimento del Garante sugli AdS
    Ho partecipatoal seminario presso la Sapienza, ma non ho percepito quelle criticità nel senso che riporta Andea Buti. L'intervento del Garante è stato molto chiaro, per esempio sui log ha spiegato come il provevdimento richieda soltanto il login/logout alle risorse (sistema operativo, dbms), escludendo esplicitamenet transazioni e comandi impartiti. Insomma, non c'è alcuna ambiguità su quel punto, ma già il testo del provvedimento era chiaro.Qualunque norma italiana applicata a un contesto multinazionale ha poi "criticità". Tuttavia non vedo difficoltà concettuali e pratiche per la maggior parte dei titolari di trattamento. Il provvedimento poi, come è stato chiarito, non è un atto di indirizzo, se non nella prima parte. Per il resto si tratta di prescrizioni obbligatorie.Per quanto riguarda i log, i semplici strumenti sono quellid le sistema operativo: Event Viewer in Windows, per esempio, è uno strumentoidoneo a mantenere l'integrità. Se poi ne faccio l'export su cd-rom ecco un metodo semplice ed economico adatto a piccole realtà...
    • Nome e cognome scrive:
      Re: Provvedimento del Garante sugli AdS

      Se poi ne faccio l'export
      su cd-rom ecco un metodo semplice ed economico
      adatto a piccole
      realtà...Si certo, e tra l'export e la masterizzazione, nessuno può modificare niente eh..Ah già dimenticavo, i cd si automasterizzano per osmosi...
    • Fabio Di Resta scrive:
      Re: Provvedimento del Garante sugli AdS
      in realtà mi risulta che oltre l'integrità deve essere garantita anche l'immodificabilità nel tempo degli acXXXXX degli AdS, questo è il vero nodo, per suprarlo bisgona impiegare sw specifici che marcano il file mentre event viewer è un archivio nel quale non sono previste funzione di hash
    • QuiQuoQua scrive:
      Re: Provvedimento del Garante sugli AdS
      La fai troppo facile... non c'è solo l'event viewer di windows. Chi tiene dati sensibili su mainframe, unix, backuppati in remoto su sistemi proprietari via internet in altri stati, chi li tiene su nas proprietari che non loggano niente.Decine di sistemi diversi, ognuno con le sue politiche diverse di log.Spendiamo migliaia di euro e centinaia di ore per adeguarci ? A me non li daranno mai.E anche se fosse l'event viewer di windows, chi ha detto che non è modificabile ???Inutile, il garante sta costruendo un castello di sabbia: tutto l'impianto non regge.E' come se volessimo far costrure l'impianto d'allarme della nostra casa esattamente al ladro che verrà a svaligiarci. Non ha senso.
    • tepossino scrive:
      Re: Provvedimento del Garante sugli AdS
      - Scritto da: Corrado Conti
      Event Viewer
      in Windows, per esempio, è uno strumentoidoneo a
      mantenere l'integrità.ma nemmeno per idea.il fatto che i log di windows siano in formato binario non implica la loro immutabilità. vai su google e trovi documenti che ne descrivono il formato: cosa vuoi che ci metta uno a forgiare un log alla bisogna.parliamoci chiaro: nessuno sa al momento che soluzioni tecniche usare per soddisfare veramente gli isterismi del Garante.e poi secondo me è un problema senza soluzione in quanto figlio di un paradosso: chi controlla il controllore?
    • Corrado Conti scrive:
      Re: Provvedimento del Garante sugli AdS
      Ma occorre un po' di buon senso, il Garante nel 2008 ha prescritto sistemi di raccolta di "audit log certificati" per il trattamento dei dati di traffico telefonico da parte degli operatori. Stavolta la prescrizione riguarda tutti, dalla piccola azienda alla grande multinazionale, ma i dati da registrare sono solo quelli di login/logout degli AdS.Secondo me è possibile una gradazione sensata delle misure, peraltro in qualche modo sottesa nel provvedimento: ai miei clienti più piccoli sto consigliando soluzioni a più basso costo, anche se meno "blindate", ma secondo me conformi alla prescrizione.Poi che tutto sia alterabile almeno per un certo periodo è fuori discussione... Ritengo che il provvedimento sia comunque un piccolo passo in avanti verso la responsabilizzazione delle aziende nel trattamento dei dati personali.
  • Fabio Di Resta scrive:
    osservazioni sugli AdS
    A mio modesto avviso, sebbene condivida alcune perplessità su aspetti applicativi del provvedimento (p.e. registrazioni degli accessi), nell'articolo sono stati trattati temi diversi ma non si coglie un tentativo importante di fondo che è quello di tentare di diffondere nelle realtà aziendali una cultura di accountability (sopratutto nelle grandi realtà), con una gradualità di qualifiche (tracciando i profili e abilitazioni interne) e responsabilità per il proprio operato da parte degli amministratori di sistema. Tra i diversi aspetti da esaminare con riguardo alle responsabilità del titolare penso proprio che non abbia senso focalizzarsi solo sull'omessa adozione delle misure minime di sicurezza ex art. 169 del Codice della Privacy, infatti la modifica del 162 (si veda il comma 2-ter) implica anche la sanzionabilità (sul piano della sanzione amministrativa) delle misure prescritte dal provvedimento pronunciato ex art. 154 lett. c). L'inasprimento sanzionatorio recente ha comportato infatti una quadro sanzionatorio che va al di là della dicotomia misure minime e idonee di sicurezza, conferendo molta più forza alle misure di sicurezza imposte dai provvedimenti del Garante su un piano della sanzionabilità amministrativa degli stessi, che va da trentamilaeuro a centoottantamilaeuro, da sommarsi ad eventuali altre contestazioni sul piano penale. Fabio Di Resta
Chiudi i commenti