Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza

Corsair iCUE 4000X RGB, un case adatto a PC sobri, ma non troppo. La recensione
Corsair iCUE 4000X RGB, un case adatto a PC sobri, ma non troppo. La recensione
La nuova Serie 4000 di Corsair si caratterizza per eleganza e semplicità nelle linee, ed anche per gli ottimi materiali utilizzati e l'attenzione per i dettagli utili per l'installazione di un sistema al suo interno. In particolare il modello iCUE 4000X RGB nasconde, dietro l'indole all'apparenza sobria, tre ottime ventole con LED RGB integrati.
GeForce RTX 3090 in test, Nvidia Ampere all'ennesima potenza
GeForce RTX 3090 in test, Nvidia Ampere all'ennesima potenza
GeForce RTX 3090 Founders Edition è la scheda video al top di gamma della nuova offerta Ampere di Nvidia. Equipaggiata con una GPU ancora più potente di quella del modello GeForce RTX 3080 e con ben 24 GB di memoria GDDR6X, RTX 3090 non solo è la scheda video gaming più veloce al mondo ma anche un ottimo prodotto per i content creator.
Canon EOS C70: la cinepresa digitale 4K mirrorless RF
Canon EOS C70: la cinepresa digitale 4K mirrorless RF
Canon EOS C70 porta l'innesto mirrorless RF di EOS R sulla serie Cinema EOS e si presenta come la cinepresa digitale più leggera in casa Canon. Punto di forza il sensore CMOS 4K Super 35mm con DGO (Dual Gain Output), assieme al sistema autofocus Dual Pixel CMOS AF. Una videocamera pronta all'uso professionale sul campo, grazie alle numerose porte, che non richiedono accessori di espansione
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 20-07-2017, 08:37   #1
c.m.g
Senior Member
 
L'Avatar di c.m.g
 
Iscritto dal: Mar 2006
Messaggi: 22063
[NEWS] Kerberos e il bug invecchiato 21 anni

mercoledì 19 luglio 2017

Spoiler:
Quote:
La vulnerabilità scoperta da un gruppo di ricercatori affligge Windows, quasi tutte le distribuzioni Linux, MacOS, FreeBSD e Samba. Le patch sono state rilasciate in questi giorni, ma le due righe di codice che causavano il bug erano in "cantina" dal lontano 1996


Roma - I ricercatori Jeffrey Altman (fondatore di Auristor), Viktor Dukhovni e Nicolas Williams hanno recentemente scoperto un bug presente in due implementazioni del protocollo di autenticazione Kerberos: quella di Microsoft, contenuta in tutti i sistemi operativi Windows, e l'open source Heimdal, utilizzata dalla maggior parte delle distribuzioni Linux e Unix.

La falla di sicurezza, chiamata dai ricercatori "Orpheus' Lyre", con un'evidente analogia mitologica legata alla figura di Cerbero, risale al 2000 per quanto riguarda Windows e addirittura al 1996 per quanto riguarda Heimdal: non è stata scoperta in tutto questo tempo poiché non compromette il corretto funzionamento del sistema ed è estremamente localizzata. L'implementazione del protocollo realizzata dal MIT, adottata da alcune distribuzioni, tra cui Red Hat, non è affetta dal bug.



La vulnerabilità consente ad un eventuale attaccante - il quale deve avere già penetrato la rete target - di effettuare una privilege escalation attraverso un attacco di tipo Man In The Middle: l'attaccante si spaccia per un provider di autenticazione, riuscendo così ad accedere alle credenziali fornite dai vari utenti.
In Kerberos, la mutua autenticazione tra utenti e servizi avviene attraverso una terza entità chiamata Key Distribution Center (KDC), il quale produce oggetti chiamati ticket, che hanno lo scopo di autenticare un utente ad un determinato servizio. I ticket, a causa della notevole longevità del codice e di necessità di backward compatibility, possiedono al loro interno sia strutture di dati cifrate che altre non cifrate: i ricercatori hanno scoperto un metodo in grado di estrarre da un ticket dati sensibili non protetti da cifratura: il nome dell'utente, una serie di metadati, e la session key utilizzabile per autenticarsi ad un determinato servizio. Attraverso il possesso di questi dati, risulta possibile ingannare l'Authentication Server del KDC, impersonando un determinato utente.



Il bug consiste in due righe di codice, relative alla funzione _krb5_extract_ticket(), utilizzata dai client Kerberos per estrarre informazioni da un certo ticket: la vulnerabilità è quindi presente soltanto lato client.

I ricercatori hanno deciso, per il momento, di non pubblicare il codice del loro exploit, in modo da dare tempo ai provider di rilasciare le patch di sicurezza necessarie: Microsoft ha rilasciato la propria con il Patch-Tuesday di questo mese, bollettini di sicurezza e relative patch sono state pubblicate anche da Samba, Debian, Fedora, Heimdal e FreeBSD.

Elia Tufarolo






Fonte immagini: 1, 2

Fonte: Punto Informatico
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.
c.m.g è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Corsair iCUE 4000X RGB, un case adatto a PC sobri, ma non troppo. La recensione Corsair iCUE 4000X RGB, un case adatto a PC sobr...
GeForce RTX 3090 in test, Nvidia Ampere all'ennesima potenza GeForce RTX 3090 in test, Nvidia Ampere all'enne...
Canon EOS C70: la cinepresa digitale 4K mirrorless RF Canon EOS C70: la cinepresa digitale 4K mirrorle...
POCO X3 NFC: tanto a poco prezzo. Un altro best buy? La recensione POCO X3 NFC: tanto a poco prezzo. Un altro best ...
BenQ SW321C: il monitor per chi stampa fotografie BenQ SW321C: il monitor per chi stampa fotografi...
L'accordo tra Governo Italiano e NASA no...
Fujifilm X-S10: svelate alcune caratteri...
Windows XP e il tema segreto ufficiale p...
Google Maps, il nuovo layer mostra dove ...
Seagate lancia i dischi Exos X18 da 18 T...
Offerta Sky DAZN: tutto quello che c’&eg...
HUAWEI FreeBuds Pro: con la cancellazion...
Microsoft lavora all'archiviazione ologr...
HUAWEI Mate X2: sarà davvero cos&...
Offerte Amazon esagerate per il weekend:...
Un obiettivo grandangolare 180° piatto è...
Cambium Networks presenta cnWave a 60 GH...
Crash delle schede RTX 3080 custom: un p...
Microsoft Flight Simulator: il primo agg...
OnePlus annuncia Warp Charge 65, solo 15...
FurMark
Chromium
IObit Uninstaller
GPU Caps Viewer
Opera Portable
Opera 71
Zoom Player Free
CCleaner Portable
CCleaner Standard
Skype
CrystalDiskInfo
Driver Booster
3DMark
K-Lite Codec Pack Update
K-Lite Mega Codec Pack
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 13:02.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
Served by www2v