Ciao Giacy-vo; hai proprio ragione, io però inizio ora a migrare in mac e non vedo l'ora di acquisire tutte quelle capacità di cui ho bisogno. Ciao Paolo Refrigeri Il giorno 09 ottobre 2009 16.11, giacy-vo <giacy.vo@xxxxxxxxx> ha scritto: > Per fortuna che noi non abbiamo windows!!!! fiuuuuu. > > Il giorno 09/ott/2009, alle ore 15.30, Paolo Refrigeri ha scritto: > > > Ciao lista; > sicuramente già conoscete il problema, ma ad evitare che taluno non ne > abbia notizia, vi incollo qui di seguito un articolo tratto da altra lista > che, comunque, riguarda anche safari. > Cordiali saluti a tutti > Paolo Refrigeri > > > *Transazioni PayPal a rischio per vulnerabilità in Windows* > Un hacker ha reso pubblico un certificato Ssl che permette di > leggere in > chiaro le transazioni PayPal. Problemi anche per Chrome e Safari. > [ZEUS News - www.zeusnews.com - 08-10-2009] > Alcuni giorni fa è stato reso pubblico un certificato Ssl che > permette un > attacco di tipo man-in-the-middle alle connessioni criptate a PayPal > effettuate tramite i browser Internet Explorer, Chrome e Safari su > piattaforma Windows. La vulnerabilità era nota da tempo ma sinora > non era > stata sfruttata almeno pubblicamente; non per PayPal. > In un attacco man-in-the-middle (uomo nel mezzo) l'attaccante > assume due > identità e si interpone tra l'utente e il server: il primo crede di > connettersi al server reale, mentre si sta connettendo con > l'attaccante. > Al server succede la stessa cosa: scambia l'attaccante per il > client. > Stando nel mezzo grazie alla vulnerabilità suddetta, un > attaccante può far > credere al browser dell'utente di essere PayPal, grazie al > certificato e > rimbalzando le connessioni verso PayPal. PayPal cifrerà le > risposte per il > nostro attaccante che a sua volta, dopo averle lette, le > ricifrerà per la > vittima - che così non si accorgerà di nulla. > Questa vulnerabilità è dovuta a un vecchio mix di tecnologie che > Microsoft > continua ad usare: le API NT utilizzano stringhe Unicode > nativamente, > mentre le API Win32 usano le vecchie stringhe C (delimitate da un > null). > Le stringhe Unicode delle API NT "conoscono" la loro dimensione; le > stringhe C no, vanno lette sino a quando non si trova un > carattere null > (\0). > La mescolanza di queste due tecnologie ha permesso vari tipi di > exploit, > il cui fulcro è l'iniezione di codice basandosi sul fatto che si > possono > creare situazioni in cui una data funzione non sa quando fermarsi. > Al momento non ci sono patch, tuttavia Firefox non risente di questa > vulnerabilità poiché utilizza una propria API crittografica. > > Fonte: > http://www.zeusnews.com/index.php3?ar=stampa&cod=11120 > > > >