Tags archives: sicurezza

 

 

 

0

Firefox e l'idea di abbandonare Flash

Mozilla ha deciso di “bloccare” il plugin Adobe Flash in Firefox per motivi di sicurezza. 

Sono ormai molti i siti / servizi web che utilizzano HTML5 per la riproduzione dei propri contenuti multimediali. HTML5 consente la riproduzione dei vari contenuti senza richiedere nessun plugin di terze parti, il tutto garantendo una maggiore stabilità e sicurezza. Tutto questo sta pian piano mandando in pensione tecnologie come Adobe Flash e Microsoft Silverlight, progetti sempre più “snobbati”, a non volerli più troviamo anche Mozilla la quale ha deciso di bloccare il plugin proprietario di Adobe, il quale sarà possibile utilizzarlo solo dopo l’approvazione da parte dell’utente. Il plugin Flash Player in Firefox è stato recentemente incluso nella blocklist per motivi legati principalmente alla sicurezza e stabilità del web browser open source, attivando di default l’opzione “Chiedi prima di attivare”.

Continua a leggere…

 

0

Marco's Box I/O 2x17

Quali canzoni sono ascoltate nelle città del mondo? [Spotify]

  • Thinker è un progetto liberamente utilizzabile per assemblare il telaio di una moto [Motoblog]
  • Un server di Minecraft ha usato i Bitcoin come mezzo di scambio per acquistare blocchi speciali: è il futuro delle monete in-game? [Medium]
  • Facebook ha prodotto diversi progetti open source interessanti, come HHVM e React [FossBytes]
  • ReWalk è l’unico esoscheletro per paraplegici autorizzato all’uso provato [IEEESpectrum]
  • La NSA rilascia SIMP, strumento per il controllo della sicurezza di server basati su RHEL/CentOS [InfoWorld]
  • Nel materiale di Hacking Team è stato trovato codice per bypassare i controlli di sicurezza del Play Store [ArsTechnica]

 

0

Anche Google Chrome disabilita Flash: falle scoperte da Hacking Team

DOPO Firefox, anche Chrome disabilita il supporto ad Adobe Flash, il popolare lettore di video che dopo l’attacco ad Hacking Team ha mostrato una serie di falle sfruttabili dagli hacker. “Flash è un cadavere che cammina, sono tanti anni che ha delle vulnerabilità. Bisogna prendere atto che è un programma finito”, spiega all’ANSA Matteo Flora, […]

 

0

Joomla Docman Path Disclosure / Local File Inclusion

# Joomla docman Component ‘com_docman’ Full Path Disclosure(FPD) & Local File Disclosure/Include(LFD/LFI) # CWE: CWE-200(FPD) CWE-98(LFI/LFD) # Risk: High # Author: Hugo Santiago dos Santos # Contact: hugo.s@linuxmail.org # Date: 13/07/2015 # Vendor Homepage: http://extensions.joomla.org/extension/directory-a-documentation/downloads/docman # Google Dork: inurl:”/components/com_docman/dl2.php”   # Xploit (FPD):   Get one target and just download with blank parameter: http://www.site.com/components/com_docman/dl2.php?archive=0&file=   […]

 

0

WordPress Image Export 1.1 Arbitrary File Download

Title: Remote file download vulnerability in Wordpress Plugin image-export v1.1 Author: Larry W. Cashdollar, @_larry0 Date: 2015-07-01 Download Site: https://wordpress.org/plugins/image-export Vendor: www.1efthander.com Vendor Notified: 2015-07-05 Vendor Contact: https://twitter.com/1eftHander Description: Image Export plugin can help you selectively download images uploaded by an administrator . Vulnerability: The code in file download.php doesn’t do any checking that the […]

 

0

WordPress Plotly 1.0.2 Cross Site Scripting

Details ================ Software: Plotly Version: 1.0.2 Homepage: http://wordpress.org/plugins/wp-plotly/ Advisory report: https://security.dxw.com/advisories/stored-xss-in-plotly-allows-less-privileged-users-to-insert-arbitrary-javascript-into-posts/ CVE: CVE-2015-5484 CVSS: 6.5 (Medium; AV:N/AC:L/Au:S/C:P/I:P/A:P)   Description ================ Stored XSS in Plotly allows less privileged users to insert arbitrary JavaScript into posts   Vulnerability ================ This plugin allows users who do not have the unfiltered_html capability to insert JavaScript into posts/pages which gets […]

 

0

WordPress WP-PowerPlayGallery 3.3 File Upload / SQL Injection

Title: Remote file upload vulnerability & SQLi in wordpress plugin wp-powerplaygallery v3.3 Author: Larry W. Cashdollar, @_larry0 Date: 2015-06-27 Download Site: https://wordpress.org/plugins/wp-powerplaygallery Vendor: WP SlideShow Vendor Notified: 2015-06-29 Advisory: http://www.vapid.dhs.org/advisory.php?v=132 Vendor Contact: plugins@wordpress.org Description: This is the best gallery for touch screens. It is fully touch enabled with great features. This gallery is compatible wiht […]

 

0

WordPress Floating Social Bar 1.1.5 Cross Site Scripting

# Exploit Title: Floating Social Bar 1.1.5 XSS # Date: 09-01-2015 # Software Link: https://wordpress.org/plugins/floating-social-bar/ # Exploit Author: Kacper Szurek # Contact: http://twitter.com/KacperSzurek # Website: http://security.szurek.pl/ # Category: webapps   1. Description   Everyone can access save_order().   File: floating-social-barclass-floating-social-bar.php   add_action( ‘wp_ajax_nopriv_fsb_save_order’, array( $this, ‘save_order’ ) );   $_REQUEST[‘items’] is not escaped.   http://security.szurek.pl/floating-social-bar-115-xss.html […]