Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza

Sony Alpha A1: la nuova regina dello sport. 50 megapixel a 30 fps
Sony Alpha A1: la nuova regina dello sport. 50 megapixel a 30 fps
Sony cala un asso che scombina le carte in tavola: la nuova mirrorless full frame Sony Alpha A1 offre 50,1 megapixel e la possibilità di scattare a piena risoluzione a 30 fotogrammi al secondo senza blackout nel mirino. Completano il quadro i video 8K 30p e 4k 120p, oltre all'autofocus da 759 punti con Real Time Eye AF per persone e animali
Recensione Samsung Galaxy Tab A7: un tablet affidabile a meno di 250€
Recensione Samsung Galaxy Tab A7: un tablet affidabile a meno di 250€
L'entry-level di Samsung è un tablet economico intorno ai 250 euro che consente di eseguire qualsiasi operazione senza impuntamenti o problematiche varie. Ci ha permesso di giocare anche a qualche gioco mediamente più complesso del giochino tipico con engine 2D, di visionare contenuti video senza problemi, il tutto corredato da un'ottima autonomia su singola carica. Si è rivelato, durante il nostro uso, un tablet molto affidabile in una fascia di mercato senza dubbio interessantissima.
Recensione MSI RTX 3060 Ti Gaming X Trio, stile e prestazioni al servizio del gaming
Recensione MSI RTX 3060 Ti Gaming X Trio, stile e prestazioni al servizio del gaming
Abbiamo provato la MSI RTX 3060 Ti Gaming X Trio, scheda video custom al vertice dell'offerta dell'azienda taiwanese. Si tratta di una soluzione leggermente più veloce della Founders Edition, e al tempo stesso scalda meno e produce una minore rumorosità. In bundle c'è una staffa per alleviare il peso sullo slot PCIe.
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 20-07-2017, 09:37   #1
c.m.g
Senior Member
 
L'Avatar di c.m.g
 
Iscritto dal: Mar 2006
Messaggi: 22066
[NEWS] Kerberos e il bug invecchiato 21 anni

mercoledì 19 luglio 2017

Spoiler:
Quote:
La vulnerabilità scoperta da un gruppo di ricercatori affligge Windows, quasi tutte le distribuzioni Linux, MacOS, FreeBSD e Samba. Le patch sono state rilasciate in questi giorni, ma le due righe di codice che causavano il bug erano in "cantina" dal lontano 1996


Roma - I ricercatori Jeffrey Altman (fondatore di Auristor), Viktor Dukhovni e Nicolas Williams hanno recentemente scoperto un bug presente in due implementazioni del protocollo di autenticazione Kerberos: quella di Microsoft, contenuta in tutti i sistemi operativi Windows, e l'open source Heimdal, utilizzata dalla maggior parte delle distribuzioni Linux e Unix.

La falla di sicurezza, chiamata dai ricercatori "Orpheus' Lyre", con un'evidente analogia mitologica legata alla figura di Cerbero, risale al 2000 per quanto riguarda Windows e addirittura al 1996 per quanto riguarda Heimdal: non è stata scoperta in tutto questo tempo poiché non compromette il corretto funzionamento del sistema ed è estremamente localizzata. L'implementazione del protocollo realizzata dal MIT, adottata da alcune distribuzioni, tra cui Red Hat, non è affetta dal bug.



La vulnerabilità consente ad un eventuale attaccante - il quale deve avere già penetrato la rete target - di effettuare una privilege escalation attraverso un attacco di tipo Man In The Middle: l'attaccante si spaccia per un provider di autenticazione, riuscendo così ad accedere alle credenziali fornite dai vari utenti.
In Kerberos, la mutua autenticazione tra utenti e servizi avviene attraverso una terza entità chiamata Key Distribution Center (KDC), il quale produce oggetti chiamati ticket, che hanno lo scopo di autenticare un utente ad un determinato servizio. I ticket, a causa della notevole longevità del codice e di necessità di backward compatibility, possiedono al loro interno sia strutture di dati cifrate che altre non cifrate: i ricercatori hanno scoperto un metodo in grado di estrarre da un ticket dati sensibili non protetti da cifratura: il nome dell'utente, una serie di metadati, e la session key utilizzabile per autenticarsi ad un determinato servizio. Attraverso il possesso di questi dati, risulta possibile ingannare l'Authentication Server del KDC, impersonando un determinato utente.



Il bug consiste in due righe di codice, relative alla funzione _krb5_extract_ticket(), utilizzata dai client Kerberos per estrarre informazioni da un certo ticket: la vulnerabilità è quindi presente soltanto lato client.

I ricercatori hanno deciso, per il momento, di non pubblicare il codice del loro exploit, in modo da dare tempo ai provider di rilasciare le patch di sicurezza necessarie: Microsoft ha rilasciato la propria con il Patch-Tuesday di questo mese, bollettini di sicurezza e relative patch sono state pubblicate anche da Samba, Debian, Fedora, Heimdal e FreeBSD.

Elia Tufarolo






Fonte immagini: 1, 2

Fonte: Punto Informatico
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.
c.m.g è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Sony Alpha A1: la nuova regina dello sport. 50 megapixel a 30 fps Sony Alpha A1: la nuova regina dello sport. 50 m...
Recensione Samsung Galaxy Tab A7: un tablet affidabile a meno di 250€ Recensione Samsung Galaxy Tab A7: un tablet affi...
Recensione MSI RTX 3060 Ti Gaming X Trio, stile e prestazioni al servizio del gaming Recensione MSI RTX 3060 Ti Gaming X Trio, stile ...
FRITZ!Box 6580 LTE, il router per chi non è ancora raggiunto dalla fibra FRITZ!Box 6580 LTE, il router per chi non &egrav...
Hasselblad 907X 50C, fascino infinito Hasselblad 907X 50C, fascino infinito
Energie rinnovabili principale fonte di ...
Blackout in Iran: per il governo la colp...
Completare Half-Life 2 al contrario: c'&...
Ufficiale Motorola Edge S! È il p...
Cyberpunk 2077, altro che flop: vendite ...
Il salto di SpaceX Starship SN9 potrebbe...
Metalli superduri da nanoparticelle: ecc...
Apple, cambiamenti al vertice: c'è...
Qualcomm, innumerevoli tecnologie per le...
Iris Xe, la prima scheda video desktop d...
TikTok: una falla permetteva di accedere...
Qualys: l'importanza di una piattaforma ...
Un sistema di mining dentro una BMW i8. ...
Già quest'anno il primo smartphon...
ZHIYUN Smooth-Q2: il gimbal compatto per...
Firefox 85
K-Lite Codec Pack Update
K-Lite Mega Codec Pack
K-Lite Codec Pack Full
GPU Caps Viewer
Dropbox
Trillian
Paint.NET
Chromium
CrystalDiskInfo
NTLite
Google Chrome Portable
Firefox Portable
Thunderbird Portable
Skype
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 07:46.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
Served by www2v