GmG’s Weblog

In tutte le versioni ancora supportate di Windows esiste una vulnerabilità che, secondo il suo scopritore, se ne sta lì nascosta da almeno 17 anni. Nel frattempo BigM si industria per sanare IE

Mentre Microsoft è ancora impegnata nello sviluppo di una patch per Internet Explorer che risolva la falla recentemente utilizzata negli attacchi a Google, un esperto di sicurezza ha divulgato i dettagli di una vulnerabilità apparentemente celata in Windows dalla “notte dei tempi”, ovvero dall’anno 1993. Ad esserne interessate sarebbero tutte le versioni di Windows a partire da NT, inclusi XP, Server 2003, Vista, Server 2009 e 7.

Tavis Ormandy, scopritore della falla e information security engineer presso Google, spiega in questo advisory che il problema è legato alla Virtual DOS Machine, e può essere sfruttato per iniettare del codice direttamente nel kernel di Windows: questo potrebbe consentire a un aggressore o a un malware di prendere il controllo delle aree più “sensibili” e protette del sistema, e installare ad esempio key logger o rootkit.

The Register riporta che la società Immunity di Miami ha già aggiunto l’exploit della vulnerabilità al proprio software di auditing indirizzato ai professionisti della sicurezza. La società afferma che l’exploit è stato testato con successo su tutte le versioni di Windows ad eccezione della 3.1.

In attesa che Microsoft rilasci una patch, Ormandy afferma che è possibile proteggersi della debolezza disattivando i sottosistemi MSDOS e WOWEXEC di Windows: per farlo è necessario modificare alcune voci di registro così come spiegato in questo articolo del supporto tecnico di Microsoft. Va rimarcato che disattivando questi due componenti si perde la compatibilità con i vecchi programmi a 16 bit (quelli per DOS e Windows 3.1), ma per la stragrande maggioranza degli utenti questo non dovrebbe essere un problema.

Ormandy sostiene di aver segnalato il bug a Microsoft nel giugno del 2009, tenendone nel frattempo segreti i dettagli: non avendo ricevuto da BigM alcuna risposta, e avendo constatato che il baco è ancora aperto, negli scorsi giorni si è deciso a rendere il problema di pubblico dominio insieme a un exploit dimostrativo.

Contattata da The Register, Microsoft ha fatto sapere, per bocca di un suo portavoce, di stare vagliando l’advisory di Ormandy e di non essere a conoscenza di attacchi che sfruttino questa vulnerabilità.

Ieri il big di Redmond ha anche annunciato che la recente falla di Internet Explorer verrà corretta appena possibile, e al di fuori del suo ordinario ciclo di pubblicazione dei bollettini di sicurezza. Sui rischi e la portata di tale vulnerabilità Microsoft Italia ha recentemente minimizzato.

“Pur non essendo mutato in modo significativo lo scenario di rischio (nel senso che gli attacchi noti sono rimasti quelli mirati e circoscritti, ed efficaci solo su sistemi con IE6), il clamore mediatico e la confusione da parte dei clienti che ne è derivata (vedi dubbi tra versioni impattate dalla vulnerabilità – praticamente tutte – e quella seriamente impattate da eventuali attacchi intrusivi – solo IE6), anche relativamente alle contromisure temporanee di difesa (vedi abilitazione del DEP), hanno spinto verso la decisione di un rilascio in modalità Out-of-band (OOB)” ha scritto ieri Feliciano Intini, chief security advisor di Microsoft Italia, sul suo blog.
via punto-informatico

Abbiamo tanto chiacchierato del tablet di Apple e del suo debutto previsto per il 27 gennaio prossimo, ma non dimentichiamoci dell’iPhone OS 4.0.
Ecco ciò che sappiamo su quelle che dovrebbero essere le nuove funzionalità, stando alle nostre fonti:

• Le gestures multitouch saranno estese a tutto l’OS (il che ha senso, dato che le voci che riguardano il tablet parlano di un OS molto simile, se non identico all’iPhone).
• “Alcuni nuovi modi” per fare girare le applicazioni in background/multitasking
• Molti cambiamenti grafici e dell’UI per rendere la navigazione nell’OS più facile e più efficiente.
• L’aggiornamento sarà, probabilmente, disponibile solo per iPhone 3G e 3GS, ma “li spingerà avanti nel mercato degli smartphone perché li renderà più simili a veri e propri computer“. Non vediamo l’ora di verificare questo aspetto.
• L’ultima parte di questa informazione è la più vaga, ma pare che ci sarà qualche nuova funzionalità di sincronizzazione per i contatti e il calendario.

E con questo, non ci resta che aspettare ancora un’intera settimana per verificare le notizie.

via gizmodo

Il 27 gennaio a San Francisco potrebbe essere annunciato il tablet di Cupertino tanto agognato. Accompagnato da una nuova versione di iLife e iPhone OS 4.0.

Uno scambio di mail e battute tra un giornalista di Fox News e Apple ha svelato alcuni indizi che possono aiutare a capire cosa è lecito aspettarsi al prossimo evento che la Mela di Cupertino terrà presso lo Yerba Buena Center for the Arts di San Francisco, il prossimo 27 gennaio. Si parla di tablet, iLife e iPhone OS.

Il programma, secondo Fox News, si basa quindi sui tre punti che gli esperti vedono in qualche modo collegati l’un l’altro: il tanto vociferato iSlate dovrebbe fare la sua comparsa ufficiale dopo anni di rumors, e la presentazione della nuova versione della suite iLife confermerebbe i paventati sforzi di Apple per la realizzazione di un device simile.

Sul fronte iPhone, che non è poi così distante da quello del tablet, non dovrebbero esserci invece grosse sorprese: niente modello 4G per ora ma solo la nuova release del sistema operativo del melafonino, iPhone OS 4.0.

Nonostante possa risultare inverosimile, visti i precedenti, che l’evento possa seguire pedissequamente il programma citato da Fox News, l’accostamento di questi tre prodotti, insieme a quella che è stata definita dagli stessi uomini Apple come “una fuga controllata di notizie”, avrebbe un suo senso: il futuro tablet necessiterà di una serie di applicativi, e secondo gli addetti ai lavori iLife si presterebbe perfettamente per questo compito.

La versione 4.0 di iPhone OS si collocherebbe invece in un duplice contesto, che la vede sia come prodroma del nuovo melafonino che come possibile base per lo sviluppo del firmware di iSlate.

Proprio su iSlate convergerebbero i piani di Cupertino per il 2010. Il tablet di Apple si andrebbe a collocare nello stesso spazio di azione di tanti altri modelli di ereader che hanno visto la luce negli ultimi mesi del 2009. Da qui il bisogno di stringere accordi con gli editori per aumentare l’appetibilità del prodotto. Stando a quanto emerso finora, sarebbe in corso una trattativa tra Apple e la casa editrice HarperCollins per mettere a disposizione il catalogo ebook di quest’ultima su iSlate.

Pochi e non confermati i dettagli dei colloqui fra i due soggetti: AppleInsider riporta un prezzo pari a 9,99 dollari per l’acquisto di un bestseller ma non va oltre. Non viene chiarito neanche se verrà utilizzato iTunes Store, il canale preferenziale per gli acquisti di musica e applicazioni, o se verrà creato un circuito ad hoc per i libri digitali.

Ad alimentare le voci che vedono Apple indaffarata a cercare partnership editoriali, per accompagnare il suo tablet, potrebbero aggiungersi alcune speculazioni piuttosto fondate circa la possibilità che il New York Times possa iniziare a richiedere l’obolo per fruire delle sue news da dispositivi mobili. L’applicazione attualmente disponibile per iPhone, quindi, potrebbe presto cambiare conformazione.

Oltre a sondare nuovi spazi di azione, secondo gli analisti Apple dovrebbe continuare a investire sul suo App Store che nel medio termine dovrebbe diventare una ancora più ingente fonte di introiti. Alcune proiezioni per il 2010 riferiscono infatti di 6,8 miliardi di dollari di ricavi totali: estendendo invece lo studio al 2013, quando la penetrazione di iPhone (o iSlate) raggiungerà un livello maggiore, si presume che a Cupertino scorrerà un fiume di denaro derivante dai soli proventi di App Store: 29,5 miliardi di dollari.
via punto.informatico

Lego non poteva restare fuori da un evento mediatico come l’uscita dell’attesissimo Avatar di James Cameron, anche se il coinvolgimento dell’azienda dei mattoncini si è concretizzato grazie ad un fan che ha realizzato questi diorami che rappresentano scene di Pandora.

Pare che per crearli siano stati riutilizzati vecchi pezzi di altre rappresentazioni Lego, come quelle di Halo o Toy Story. Guardate la gallery completa alla pagina successiva.

Noi siamo già andati a vedere Avatar e questo è stato il nostro giudizio: e voi, l’avete già visto? Cosa ne pensate?
via gizmodo

Da quando è uscito anche in Italia, Avatar sta monopolizzando le discussioni dei blogger — che propongono per lo più recensioni entusiastiche e non prive di spoiler.

Che siate o, meno dei fan del cinema in 3D è evidente (anche per i dati sugli incassi) che il film sia un successo.

Ne avevo già parlato su queste pagine in occasione della premiere che è stata trasmessa in diretta su UStream.

Il film – che è ancora in cima alle classifiche del botteghino – ha stretto una partnership con McDonald’s, che ne propone gadget e quant’altro: sul sito finlandese del famoso merchandise gastronomico è presente una simpatica applicazione per creare il proprio personaggio di Avatar partendo da una fotografia.

L’applicazione è in Flash e contiene tutte le istruzioni per ottimizzare la realizzazione dell’immagine: un aspetto interessante riguarda la possibilità di scegliere tra le foto già presenti nei propri album di Facebook grazie all’ausilio di Facebook Connect. In alternativa è comunque possibile caricare una fotografia dal proprio desktop.

via downloadblog