Cerca nel blog

2015/12/11

Attenzione ai falsi siti Xbox Live rubapassword

>L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/12/12 13:40.

Se usate la Xbox o comunque i servizi di Xboxlive.com, occhio ai tentativi di furto di password: Microsoft ha segnalato che è stata resa pubblica per errore una serie di chiavi di sicurezza private relative a un certificato digitale per Xbox Live. Un aggressore può usare queste chiavi per simulare di essere il sito Xboxlive.com e intercettare i dati riservati dell’utente Xbox e carpirgli nome utente e password.

Microsoft non è al corrente di attacchi in corso che sfruttino questo errore, ma ha comunque revocato il certificato digitale falsificabile: gli utenti di Windows 8, 8.1, RT, RT 8.1, Server 2012, Server 2012 R2, Windows 10 e di Windows Phone 8, 8.1, e 10 Mobile riceveranno automaticamente l’aggiornamento della lista dei certificati digitali affidabili, con la relativa revoca di quello non più attendibile.

Anche chi usa ancora Windows Vista, Windows 7, Windows Server 2008 (o 2008 R2) e usa l’aggiornamento automatico della lista di certificati fidati (Certificate Trust List) riceverà automaticamente l’aggiornamento. Chi adopera altre versioni di Windows, invece, resterà vulnerabile se non passa a una versione più recente.

8 commenti:

merlin86 ha detto...

Giusto una piccola svista: non è "2008 R" ma "2008 R2", ma credo chi usa tali sistemi operativi lo sa benissimo :)

Fx ha detto...

Buona occasione per ricordare a chi usa sistemi operativi datati che l'update non è solo una questione funzionale ma soprattutto di sicurezza. In altre parole, ho capito che il tuo XP funziona benissimo, ma non è lì il punto. Anche la serratura di 30 anni fa funziona benissimo, ma se i ladri la aprono in trenta secondi perché è suscettibile di un certo tipo di "attacco" (chiamiamolo pure così) la devi cambiare anche se funziona benissimo. Perché serve che funzioni benissimo e che sia sicura, ovviamente per quanto possibile.

Paolo Attivissimo ha detto...

Merlin86,

grazie, refuso corretto!

Tharon ha detto...

@FX no, non è esattamente la stessa cosa.

Un paragone più calzante sarebbe quello di una serratura di 30 anni fa che non ha mai funzionato bene, costringendo il possessore a chiamare ripetutamente il produttore per fargliela sistemare. Solo che ad un certo punto il produttore si è stancato di ripararla gratis e ha detto "Guarda, non ti riparo più la serratura. Devi comprarla nuova". E guarda caso anche la nuova ha gli stessi problemi, e per di più è maggiormente scomoda e non può essere installata nella vecchia porta, e dopo un po' il produttore si stanca di riparare anche quella e produce una nuova serratura, ancora più scomoda e sempre con gli stessi problemi.

Che poi diciamola tutta, in questo caso si tratta di un certificato e non di una DLL da patchare. Non aggiornare è approfittare colpevolmente di un problema venutosi a creare da un loro stesso errore.

Il Lupo della Luna ha detto...

No, il fatto che la serratura funzioni bene o no non è pertinente. Se sai come aprirla anche se funziona la apri.

Guido Pisano ha detto...

@Lupo
in realta' le serrature piu' vecchie avendo alle spalle una carriera piu' lunga hanno piu' possibilita' che eventuali vulnerabilita' siano venute alla luce. Per contro non bisogna fare l'errore di pensare che una serratura nuova solo per il fatto di essere nuova ne sia priva. Anzi potrebbe succedere la cosa peggiore, ovvero che ci sia la vulnerabilita' e che ne siano a conoscenza eventuali aggressori e tu no... Poi piu' "roba" metti tra te e la serratura (portinaio firewall, porte che non servono chiuse, magari non rispondere ai ping, NAT etc) meglio e'...

Asimov68 ha detto...

Nel caso specifico è più una serratura che funziona (bene o male...) e di cui la chiave è a disposizione di un gruppo di persone non delimitato o controllato.

Se anche funzionasse benissimo, è intrinsecamente insicura.

Guido Pisano ha detto...

senza considerare che la serratura perfettamente sicura non esiste, visto che per costruzione devi poterla aprire...