grazie paolo. Il giorno 09/ott/2009, alle ore 15.30, Paolo Refrigeri ha scritto:
Ciao lista;sicuramente già conoscete il problema, ma ad evitare che taluno non ne abbia notizia, vi incollo qui di seguito un articolo tratto da altra lista che, comunque, riguarda anche safari.Cordiali saluti a tutti Paolo Refrigeri Transazioni PayPal a rischio per vulnerabilità in Windows Un hacker ha reso pubblico un certificato Ssl che permette di leggere inchiaro le transazioni PayPal. Problemi anche per Chrome e Safari.[ZEUS News - www.zeusnews.com - 08-10-2009] Alcuni giorni fa è stato reso pubblico un certificato Ssl che permette unattacco di tipo man-in-the-middle alle connessioni criptate a PayPal effettuate tramite i browser Internet Explorer, Chrome e Safari su piattaforma Windows. La vulnerabilità era nota da tempo ma sinoranon era stata sfruttata almeno pubblicamente; non per PayPal. In un attacco man-in-the-middle (uomo nel mezzo) l'attaccante assume dueidentità e si interpone tra l'utente e il server: il primo crede diconnettersi al server reale, mentre si sta connettendo con l'attaccante. Al server succede la stessa cosa: scambia l'attaccante per il client. Stando nel mezzo grazie alla vulnerabilità suddetta, un attaccante può far credere al browser dell'utente di essere PayPal, grazie al certificato e rimbalzando le connessioni verso PayPal. PayPal cifrerà le risposte per il nostro attaccante che a sua volta, dopo averle lette, le ricifrerà per la vittima - che così non si accorgerà di nulla. Questa vulnerabilità è dovuta a un vecchio mix di tecnologie che Microsoft continua ad usare: le API NT utilizzano stringhe Unicode nativamente,mentre le API Win32 usano le vecchie stringhe C (delimitate da unnull).Le stringhe Unicode delle API NT "conoscono" la loro dimensione; lestringhe C no, vanno lette sino a quando non si trova un carattere null (\0). La mescolanza di queste due tecnologie ha permesso vari tipi di exploit, il cui fulcro è l'iniezione di codice basandosi sul fatto che si possonocreare situazioni in cui una data funzione non sa quando fermarsi. Al momento non ci sono patch, tuttavia Firefox non risente di questavulnerabilità poiché utilizza una propria API crittografica. Fonte: http://www.zeusnews.com/index.php3?ar=stampa&cod=11120