Nuova falla per HTTPS, nome in codice FREAK – aggiornamento per Mac disponibile Il problema di sicurezza riguarda sia siti che browser, necessari urgenti aggiornamenti

<span class="entry-title-primary">Nuova falla per HTTPS, nome in codice FREAK – aggiornamento per Mac disponibile</span> <span class="entry-subtitle">Il problema di sicurezza riguarda sia siti che browser, necessari urgenti aggiornamenti</span>

Non conosce pace la sicurezza di HTTPS, considerato fino ad un anno fa uno dei più sicuri metodi di comunicazione in rete: dopo Poodle è stato scoperto Factoring Attack on RSA-EXPORT Keys (acronimo FREAK), una falla che interessa svariati siti e dispositivi, e per cui stanno per essere rilasciati alcuni importantissimi aggiornamenti. Il problema di sicurezza informatica, tanto per (non) cambiare, è diffuso da diversi anni ed è in corso di correzione soltanto adesso.

Analizzando il file di domini a rischio con grep, risulta che la maggioranza dei domini affetti sono dei .COM (54%), mentre i .IT costituiscono una piccola percentuale di siti vulnerabili a FREAK (la lista dei soli domini .IT affetti è qui).

Come risolvere: aggiornando come descritto. Si noti come moltissimi siti listati, alla prova dei fatti, potrebbero ridurre l’impatto della falla disattivando temporaneamente HTTPS, specialmente (se non obbligatoriamente, direi) se non usano SSL sul loro sito.

Tra i siti affetti vi sono moltissimi portali che potreste aver aperto di recente, tra cui 4shared.com, youjizz.com, businessinsider.com, mit.edu, alice.it, ilmessaggero.it, mps.it, leggo.it, alice.it, funweek.it, americanexpress.com, groupon.com e moltissimi altri. Il rischio, in questo caso, è che un aggressore riesca ad abbassare il livello di protezione di HTTP a 512 bit, e a questo punto sarà molto agevole creare un sito truffa che, eventualmente, includa SSL e serva esclusivamente a rubare i dati privati dell’utente (username, password, e via dicendo). Le tecniche di sfruttamento della falla possono essere molto varie per cui è necessario che l’utente aggiorni tutti i browser ed i sistemi operativi non appena saranno disponibili update. Microsoft ad esempio prevede (fonte) di applicare una patch per tutte le versioni di Windows supportate, mentre per iOS e OSX sarà necessario attendere il prossimo update. Conviene aggiornare comunque tutti i propri browser all’ultima versione, anche se Firefox aggiornato non risulterebbe essere vulnerabile.

Aggiornamento per Mac Mountain Lion, Mavericks, Yosemite: è stato rilasciato l’aggiornamento atteso, aggiornare il sistema dal bottone in alto a sinistra con la mela, poi scegliere “Informazioni su questo Mac“,  poi il bottone “Aggiornamento software” e seguire l’ugrade suggerito. Si può fare in alternativa aprendo direttamente l’App Store e cliccando su “Aggiornamenti“: per aggiornare è richiesta di norma la password di root del sistema.

La lista completa dei siti affetti è qui, mentre il tool per verificare se siete vulnerabili (lato browser) o meno è all’indirizzo https://freakattack.com/clienttest.html oppure https://tools.keycdn.com/freak (per verificare se un sito lo è): le vulnerabilità vengono segnalate di colore rosso. (fonte: ArsTechnica)

Photo by red, white, and black eyes forever


Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.