Barcellona – Rinomato nella grande industria per le infinite possibilità di applicazione, il protocollo Bluetooth è ancora una volta messo sotto accusa: dopo l’ annuncio di una nuova vulnerabilità da parte di alcuni programmatori israeliani, un team di esperti appartenenti alla crew catalana di Infohacking ha reso pubblicamente disponibile un programma considerato capace di stroncare qualsiasi connessione tra dispositivi Bluetooth.
Nessun telefono di ultima generazione sarebbe immune: dai PDA fino ai laptop, ogni tipo di piconet basata su BlueTooth può essere immediatamente bloccata con una tempesta di pacchetti . La vulnerabilità è stata messa a nudo tramite un semplice Denial of Service (DoS). Una volta sorpassato un numero abbastanza limitato di connessioni, lo stack di Bluetooth va in overflow chiudendo qualsiasi comunicazione. Su alcuni palmari iPAQ, l’attacco causerebbe addirittura danni irreversibili al sistema.
Stando ai risultati dei test pubblicati dagli scopritori del problema, l’attacco DoS in questione non risparmia neanche i cellulari con Bluetooth attivo in modalità nascosta : quasi tutti i telefoni Nokia, smartphone inclusi, sarebbero vulnerabili anche se occultati. Armato di computer portatile, un malintenzionato – afferma la crew – potrebbe inchiodare le comunicazioni Bluetooth all’interno di un raggio di 100 metri . Hugo Vázquez Caramés, mente di Infohacking, ha dichiarato di aver già avvertito i responsabili di Nokia a riguardo dell’insicurezza. Uno specialista finlandese avrebbe ammesso che “il problema dipende direttamente dal design dell’hardware Bluetooth”, di cui l’azienda finlandese ha semplicemente “seguito le specifiche”. Il problema, dunque, potrebbe riguardare un numero davvero elevato di applicazioni della celebre tecnologia wireless.
La possibilità che un DoS blocchi l’utilizzo di un cellulare desta naturalmente un certo grado di allarme. Ma non si tratta di una questione del tutto nuova: il problema sarebbe noto già da tempo agli ingegneri impegnati nella ricerca sulle telecomunicazioni. Tuttavia, attacchi DoS basati sulla vulnerabilità sono stati finora condotti soltanto in laboratorio .
Ora però il rischio aumenta: lo scriptino per eseguire il DoS è stato pubblicato in Rete da Transient ISS . Il tool, incluso in una suite di strumenti per testare la sicurezza dei dispositivi mobili, è destinato a far prendere coscienza dell’ insicurezza intrinseca del sistema Bluetooth. Una mossa azzardata: il responsabile di Transient ammette di “essere un po’ nervoso”, nonostante la falla sia “talmente ovvia” che chiunque, in futuro, se ne sarebbe certamente accorto.
Tommaso Lombardi
-
JRE 5.0 Update 2?!
Ma se è uscito JRE 5.0 Update 3 quasi un mese fa?! Mi sto confondendo io per caso?! E, in ogni caso, questo è a rischio?==================================Modificato dall'autore il 15/06/2005 0.06.49JoJo79Re: JRE 5.0 Update 2?!
io sto giusto vedendo adesso e mi segna 3 :|AnonimoRe: JRE 5.0 Update 2?!
Leggendo il report di Secunia si trova:The vulnerability affects J2SE releases 5.0 and 5.0 Update 1 for Windows, Solaris and Linux, and J2SE 1.4.2_07 and prior 1.4.2 releases for Windows, Solaris and Linux.Per risolvere il problema bisogna:Solution:Update to J2SE 5.0 Update 2 or 1.4.2_08 for Windows, Solaris, and Linux.Chiaramente quelli che hanno l'update 3 sono già a posto da un pezzo: sempre stando a Secunia, non ci sono falle critiche conosciute nelle versioni correnti.AnonimoRe: JRE 5.0 Update 2?!
Mah, anch'io non ci capisco piu` nulla.Java e` troppo grosso e grasso e c'era da aspettarsela una brava miriade di falle... il trucco e` lasciarlo praticamente sempre disattivato salvo i contenuti siano abbstanza trustworthy e si sappia cosa si sta andando a fargli compilare e eseguire. Peccato, l'idea era buona ma la macchina virtuale dovrebbe essere decisamente piu` snella e rinunciare all'eccesso di featurism...AnonimoRe: JRE 5.0 Update 2?!
ma vaaaaaaff...dai riscrivi java tu e poi dicci dove scaricarlosei pessssimoAnonimoRe: JRE 5.0 Update 2?!
- Scritto da: Anonimo> ma vaaaaaaff...> > dai riscrivi java tu e poi dicci dove scaricarlo> sei pessssimoEhm... ok, era un'opinione, in parte sentita e in parte sarcastica (grosso & grasso), pero` a dire il vero hai toccato un argomento che... be', e` un po' improbabile, ma succede: insomma io Java l'ho riscritto davvero. Certo, non quello di Sun, ma ho scritto una cosa che potrebbe essere considerata un java a basso livello. Si chiama L.in.oleum, e se lo cito un'altra volta mi buttano giustamente fuori dalla community per plugging... ma ormai... http://0x44.com/linoleum.htmlLo sto ancora aggiustando: e` prevista una versione riveduta e corretta a breve. L'attuale e` un po' rappezzata e incoerente, e il compilatore e` una versione ormai antica (addirittura scritto in C++ per MSDOS). Fra qualche tempo sara` matura la 1.14.La VM vecchia era di 18 Kb, e considerando la variante piu` complessa fino a 21.5 Kb. La VM attuale e` sui 31 Kb, ma si e` ingrandita molto soprattutto perche` contiene svariate versioni dell'icona dell'applet che rappresenta.Anonimonotizia "vintage"
Complimenti per la tempestivita'!AnonimoRe: notizia "vintage"
- Scritto da: Anonimo> Complimenti per la tempestivita'!non capisco nemmeno io, il buco era noto da tempo tant'e' che scaricai l'update 03 appena l'avevo saputo, ed era parecchio tempo fa.il 03 pero' non era ancora facilmente raggiungibile allora, bisognava girare sulle aree di download per i developer o trovare il link diretto pubblicato in giro.non ricordo nemmeno dove ho trovato notizie del buco.AnonimoX la redazione
Redazione, forse la notizia andava pubblicata un po' prima... grazie comunque per la segnalazione! :)AnonimoRe: X la redazione
Gli advisory di Sun sono del giorno 13 e quello di Secunia del giorno 14 (ieri), direi quindi che più presto di cosi' non potevamo proprio fare! ;-) Che poi il problema sia stato corretto da patch già rilasciate, quello è un altro discorso... ;-)Ciau!- Scritto da: Anonimo> Redazione, forse la notizia andava pubblicata un> po' prima... grazie comunque per la segnalazione!> :)la redazioneRe: X la redazione
- Scritto da: La redazione> Gli advisory di Sun sono del giorno 13 e quello> di Secunia del giorno 14 (ieri), direi quindi che> più presto di cosi' non potevamo proprio fare!> ;-) Che poi il problema sia stato corretto da> patch già rilasciate, quello è un altro> discorso... ;-)> Ciau!si ma se 1 mese fa è uscita una nuova versione di java sun 5 update3 che copre vulnerabilità riscontrate 1 mese fa e oggi escono nuove vulnerabilità che affliggono solo le vecchie versioni, non ha molto senso dare l'allarme.Anonimojava sun 1.5 update3 uscito il 29 aprile
Che senso ha parlare di vulnerabilità che sono già state patchate da settimane o da mesi?Il java sun 1.5 (5.0) update3 è uscito il 29 aprile!!!!!Anonimoha senso avvertire!
E' come dire che nessuna vulnerabilita' di Windows XP SP1 va segnalata perche' non affligge l'SP2.La vulnerabilita' va segnalata eccome, perche' chi ha l'UPDATE 2 e la funzione aggiornamenti automatici attivi, NON viene aggiornato all'UPDATE 3. NEANCHE se fa un controllo manuale dell'aggiornamento.Quindi dell'UPDATE 3 nessuno sa niente e nessuno viene stimolato a scaricarlo se non quando scopre che la propria versione ha delle vulnerabilita'.an0nim0Re: ha senso avvertire!
- Scritto da: an0nim0> E' come dire che nessuna vulnerabilita' di> Windows XP SP1 va segnalata perche' non affligge> l'SP2.infatti non ha senso, visto che c'è già il SP2 ed è pure gratis e non ci sono motivi per non doverlo installare.Già ci sono le vulnerabilità per le nuove versioni e dovete segnalare pure quelle per le vecchie? Fate prima a segnalare tutte quelle che vanno dal DOS passando per Windows 3.1 proseguendo per Windows 98/ME fino a NT/2000/XP, XPSP1, XPS2> La vulnerabilita' va segnalata eccome, perche'> chi ha l'UPDATE 2 e la funzione aggiornamenti> automatici attivi, NON viene aggiornato> all'UPDATE 3. NEANCHE se fa un controllo manuale> dell'aggiornamento.l'update3 se non sbaglio era già stato segnalato su quasi tutti i siti e pure su punto informaticoAnonimoRe: ha senso avvertire!
- Scritto da: an0nim0> E' come dire che nessuna vulnerabilita' di> Windows XP SP1 va segnalata perche' non affligge> l'SP2.infatti il SP2 è fatto apposta per coprire bug, quindi se la gente non lo mette cavoli loro!AnonimoDue falli minacciano gli utenti Java
Non sarebbe peggio??? !!!! :| :| :|AnonimoRe: Due falli minacciano gli utenti Java
> Non sarebbe peggio??? !!!! :| :| :|Come mai in windows trovano i "buchi" e in java i falli?? :|AnonimoRe: Due falli minacciano gli utenti Java
- Scritto da: Anonimo> Come mai in windows trovano i "buchi" e in java i> falli?? :|Perchè l'inculata è insita in qualunque tecnologia?In OS/400 si parlava di "Sessioni multimembro", fai un po' tu! :$The_StingerRe: Due falli minacciano gli utenti Java
> In OS/400 si parlava di "Sessioni multimembro",> fai un po' tu! :$Ma il file che ha più membri come se la cava? Che se ne fa? Dove li mette?...il buco del geologo!;)AnonimoGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiPubblicato il 15 giu 2005Ti potrebbe interessare