Barcellona – Rinomato nella grande industria per le infinite possibilità di applicazione, il protocollo Bluetooth è ancora una volta messo sotto accusa: dopo l’ annuncio di una nuova vulnerabilità da parte di alcuni programmatori israeliani, un team di esperti appartenenti alla crew catalana di Infohacking ha reso pubblicamente disponibile un programma considerato capace di stroncare qualsiasi connessione tra dispositivi Bluetooth.
Nessun telefono di ultima generazione sarebbe immune: dai PDA fino ai laptop, ogni tipo di piconet basata su BlueTooth può essere immediatamente bloccata con una tempesta di pacchetti . La vulnerabilità è stata messa a nudo tramite un semplice Denial of Service (DoS). Una volta sorpassato un numero abbastanza limitato di connessioni, lo stack di Bluetooth va in overflow chiudendo qualsiasi comunicazione. Su alcuni palmari iPAQ, l’attacco causerebbe addirittura danni irreversibili al sistema.
Stando ai risultati dei test pubblicati dagli scopritori del problema, l’attacco DoS in questione non risparmia neanche i cellulari con Bluetooth attivo in modalità nascosta : quasi tutti i telefoni Nokia, smartphone inclusi, sarebbero vulnerabili anche se occultati. Armato di computer portatile, un malintenzionato – afferma la crew – potrebbe inchiodare le comunicazioni Bluetooth all’interno di un raggio di 100 metri . Hugo Vázquez Caramés, mente di Infohacking, ha dichiarato di aver già avvertito i responsabili di Nokia a riguardo dell’insicurezza. Uno specialista finlandese avrebbe ammesso che “il problema dipende direttamente dal design dell’hardware Bluetooth”, di cui l’azienda finlandese ha semplicemente “seguito le specifiche”. Il problema, dunque, potrebbe riguardare un numero davvero elevato di applicazioni della celebre tecnologia wireless.
La possibilità che un DoS blocchi l’utilizzo di un cellulare desta naturalmente un certo grado di allarme. Ma non si tratta di una questione del tutto nuova: il problema sarebbe noto già da tempo agli ingegneri impegnati nella ricerca sulle telecomunicazioni. Tuttavia, attacchi DoS basati sulla vulnerabilità sono stati finora condotti soltanto in laboratorio .
Ora però il rischio aumenta: lo scriptino per eseguire il DoS è stato pubblicato in Rete da Transient ISS . Il tool, incluso in una suite di strumenti per testare la sicurezza dei dispositivi mobili, è destinato a far prendere coscienza dell’ insicurezza intrinseca del sistema Bluetooth. Una mossa azzardata: il responsabile di Transient ammette di “essere un po’ nervoso”, nonostante la falla sia “talmente ovvia” che chiunque, in futuro, se ne sarebbe certamente accorto.
Tommaso Lombardi
-
Due falli minacciano gli utenti Java
Non sarebbe peggio??? !!!! :| :| :|-
Re: Due falli minacciano gli utenti Java
Non sarebbe peggio??? !!!! :| :| :|Come mai in windows trovano i "buchi" e in java i falli?? :|-
Re: Due falli minacciano gli utenti Java
- Scritto da: Anonimo
Come mai in windows trovano i "buchi" e in java i
falli?? :|Perchè l'inculata è insita in qualunque tecnologia?In OS/400 si parlava di "Sessioni multimembro", fai un po' tu! :$-
Re: Due falli minacciano gli utenti Java
In OS/400 si parlava di "Sessioni multimembro",
fai un po' tu! :$Ma il file che ha più membri come se la cava? Che se ne fa? Dove li mette?...il buco del geologo!;)
-
-
-
-
java sun 1.5 update3 uscito il 29 aprile
Che senso ha parlare di vulnerabilità che sono già state patchate da settimane o da mesi?Il java sun 1.5 (5.0) update3 è uscito il 29 aprile!!!!!-
ha senso avvertire!
E' come dire che nessuna vulnerabilita' di Windows XP SP1 va segnalata perche' non affligge l'SP2.La vulnerabilita' va segnalata eccome, perche' chi ha l'UPDATE 2 e la funzione aggiornamenti automatici attivi, NON viene aggiornato all'UPDATE 3. NEANCHE se fa un controllo manuale dell'aggiornamento.Quindi dell'UPDATE 3 nessuno sa niente e nessuno viene stimolato a scaricarlo se non quando scopre che la propria versione ha delle vulnerabilita'.-
Re: ha senso avvertire!
- Scritto da: an0nim0
E' come dire che nessuna vulnerabilita' di
Windows XP SP1 va segnalata perche' non affligge
l'SP2.infatti non ha senso, visto che c'è già il SP2 ed è pure gratis e non ci sono motivi per non doverlo installare.Già ci sono le vulnerabilità per le nuove versioni e dovete segnalare pure quelle per le vecchie? Fate prima a segnalare tutte quelle che vanno dal DOS passando per Windows 3.1 proseguendo per Windows 98/ME fino a NT/2000/XP, XPSP1, XPS2
La vulnerabilita' va segnalata eccome, perche'
chi ha l'UPDATE 2 e la funzione aggiornamenti
automatici attivi, NON viene aggiornato
all'UPDATE 3. NEANCHE se fa un controllo manuale
dell'aggiornamento.l'update3 se non sbaglio era già stato segnalato su quasi tutti i siti e pure su punto informatico -
Re: ha senso avvertire!
- Scritto da: an0nim0
E' come dire che nessuna vulnerabilita' di
Windows XP SP1 va segnalata perche' non affligge
l'SP2.infatti il SP2 è fatto apposta per coprire bug, quindi se la gente non lo mette cavoli loro!
-
-
-
X la redazione
Redazione, forse la notizia andava pubblicata un po' prima... grazie comunque per la segnalazione! :) -
notizia "vintage"
Complimenti per la tempestivita'!-
Re: notizia "vintage"
- Scritto da: Anonimo
Complimenti per la tempestivita'!non capisco nemmeno io, il buco era noto da tempo tant'e' che scaricai l'update 03 appena l'avevo saputo, ed era parecchio tempo fa.il 03 pero' non era ancora facilmente raggiungibile allora, bisognava girare sulle aree di download per i developer o trovare il link diretto pubblicato in giro.non ricordo nemmeno dove ho trovato notizie del buco.
-
-
JRE 5.0 Update 2?!
Ma se è uscito JRE 5.0 Update 3 quasi un mese fa?! Mi sto confondendo io per caso?! E, in ogni caso, questo è a rischio?==================================Modificato dall'autore il 15/06/2005 0.06.49-
Re: JRE 5.0 Update 2?!
io sto giusto vedendo adesso e mi segna 3 :|-
Re: JRE 5.0 Update 2?!
Leggendo il report di Secunia si trova:The vulnerability affects J2SE releases 5.0 and 5.0 Update 1 for Windows, Solaris and Linux, and J2SE 1.4.2_07 and prior 1.4.2 releases for Windows, Solaris and Linux.Per risolvere il problema bisogna:Solution:Update to J2SE 5.0 Update 2 or 1.4.2_08 for Windows, Solaris, and Linux.Chiaramente quelli che hanno l'update 3 sono già a posto da un pezzo: sempre stando a Secunia, non ci sono falle critiche conosciute nelle versioni correnti.
-
-
Re: JRE 5.0 Update 2?!
Mah, anch'io non ci capisco piu` nulla.Java e` troppo grosso e grasso e c'era da aspettarsela una brava miriade di falle... il trucco e` lasciarlo praticamente sempre disattivato salvo i contenuti siano abbstanza trustworthy e si sappia cosa si sta andando a fargli compilare e eseguire. Peccato, l'idea era buona ma la macchina virtuale dovrebbe essere decisamente piu` snella e rinunciare all'eccesso di featurism...-
Re: JRE 5.0 Update 2?!
ma vaaaaaaff...dai riscrivi java tu e poi dicci dove scaricarlosei pessssimo-
Re: JRE 5.0 Update 2?!
- Scritto da: Anonimo
ma vaaaaaaff...
dai riscrivi java tu e poi dicci dove scaricarlo
sei pessssimoEhm... ok, era un'opinione, in parte sentita e in parte sarcastica (grosso & grasso), pero` a dire il vero hai toccato un argomento che... be', e` un po' improbabile, ma succede: insomma io Java l'ho riscritto davvero. Certo, non quello di Sun, ma ho scritto una cosa che potrebbe essere considerata un java a basso livello. Si chiama L.in.oleum, e se lo cito un'altra volta mi buttano giustamente fuori dalla community per plugging... ma ormai... http://0x44.com/linoleum.htmlLo sto ancora aggiustando: e` prevista una versione riveduta e corretta a breve. L'attuale e` un po' rappezzata e incoerente, e il compilatore e` una versione ormai antica (addirittura scritto in C++ per MSDOS). Fra qualche tempo sara` matura la 1.14.La VM vecchia era di 18 Kb, e considerando la variante piu` complessa fino a 21.5 Kb. La VM attuale e` sui 31 Kb, ma si e` ingrandita molto soprattutto perche` contiene svariate versioni dell'icona dell'applet che rappresenta.-
Re: JRE 5.0 Update 2?!
beh, io sono un java-fan :D ma il fatto di lasciarlo disattivato finché non si visitano siti fidati non mi sembra proprio un cattivo consiglio, anzi.cmq nessun sw è perfettamente esente da bug, quindi inutile criticare una piattaforma solo perché è stata ampliata -
Re: JRE 5.0 Update 2?!
- Scritto da: Avion
beh, io sono un java-fan :D ma il fatto di
lasciarlo disattivato finché non si visitano siti
fidati non mi sembra proprio un cattivo
consiglio, anzi.Oh, be', io sono piu` un generico cross-platform fan.L'idea di java del bytecode e` veramente buona, e` l'implementazione che quando diventa cicciottella...
cmq nessun sw è perfettamente esente da bug,
quindi inutile criticare una piattaforma solo
perché è stata ampliata...infatti, devi considerare le attenuati generiche: io sono retrogrado & nostalgico. Alla mia veneranda eta` di 29 anni faccio fatica ad adattarmi, figuriamoci in futuro... :| -
Re: JRE 5.0 Update 2?!
il discorso delle features non c'entra na cippa con le prestazioni... se sei un programmatore sai che è possibile caricare le librerie che ti servono solo quando ti servono e non sempre -.-il fatto che anche java ogni tanto ha delle falle non mi stupisce più di tanto, in quanto nessun software è perfetto. Ma da qui a dire che bisogna disabilitare java e usarlo solo in siti sicuri ce ne passa. Ti ricordo che ogni volta che si vogliono concedere privilegi maggiori per un applet (tipo scrivere sul disco) esce un riquadro enorme con minacce di morte in stile microsoft se si clicka si -
Re: JRE 5.0 Update 2?!
- Scritto da: Alex¸tg
- Scritto da: Anonimo
ma vaaaaaaff...
dai riscrivi java tu e poi dicci dove scaricarlo
sei pessssimo
Ehm... ok, era un'opinione, in parte sentita e in
parte sarcastica (grosso & grasso), pero` a dire
il vero hai toccato un argomento che... be', e`
un po' improbabile, ma succede: insomma io Java
l'ho riscritto davvero. Certo, non quello di Sun,
ma ho scritto una cosa che potrebbe essere
considerata un java a basso livello. Si chiama
L.in.oleum, e se lo cito un'altra volta mi
buttano giustamente fuori dalla community per
plugging... ma ormai...
http://0x44.com/linoleum.html
Lo sto ancora aggiustando: e` prevista una
versione riveduta e corretta a breve. L'attuale
e` un po' rappezzata e incoerente, e il
compilatore e` una versione ormai antica
(addirittura scritto in C++ per MSDOS). Fra
qualche tempo sara` matura la 1.14.
La VM vecchia era di 18 Kb, e considerando la
variante piu` complessa fino a 21.5 Kb. La VM
attuale e` sui 31 Kb, ma si e` ingrandita molto
soprattutto perche` contiene svariate versioni
dell'icona dell'applet che rappresenta.Hai però omesso di dire che il tuo linguaggio è molto di basso livello (quasi assembly).." it's a form of cross-platform assembly language"Un linguaggio di alto livello richiede istruzioni e casi d'uso più corposi, concentrando il programmatore (cosa non da poco) sul problema del progetto e non su puntatori,overflow, ecc... In questo java è un linguaggio innovativo.Senza remore (anzi, complimenti per il progetto!! ;) ), il tuo linguaggio non può essere paragonato a java.
-
-
-
-
