Vulnerabilità riscontrate al 18 Aprile 2019

Riportiamo di seguito le vulnerabilità riscontrate all 18 Aprile 2019.

Ai fini di proteggere i sistemi e le applicazioni che si utilizzano, è necessario monitorare e aggiornare costantemente le applicazioni e i sistemi stessi, facendo attenzione a visualizzare le vulnerabilità che ogni giorno vengono segnalate.

Per oggi, 18 Aprile, sono emerse le seguenti vulnerabilità, riportate per punti e con allegati i link o le patch per ulteriori approfondimenti.

Oracle

Oracle ha rilasciato la Critical Patch Update di aprile 2019, che contiene un totale di 297 fix di sicurezza per decine di prodotti e componenti Oracle.

Alcune delle vulnerabilità oggetto di questo aggiornamento affliggono più prodotti, quelle più critiche sono sfruttabili da remoto senza autenticazione, ossia da rete senza la necessità di fornire username e password.

Per maggiori informazioni su questo aggiornamento, inclusa una lista dettagliata dei prodotti affetti con le relative versioni, è possibile consultare la pagina seguente sul sito di Oracle:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

Xiaomi

Una compagnia di cybersicurezza ha scovato una vulnerabilità relativa alla schermata di sblocco della MIUI, presente sia negli smartphone Xiaomi che nel flagship economico Pocophone F1, la quale è stata prontamente risolta da Xiaomi attraverso una versione aggiornata dell’app Mi Wallpaper Carouselm disponibile nel Play Store

La vulnerabilità in questione consentiva di accedere alla lettura e scrittura dei dati della Clipboard e soprattutto di mettere mano alle credenziali dei social network, sfruttando la Compilazione Automatica. Un malintenzionato avrebbe dunque potuto accedere a tantissimi dati personali direttamente dai social, come indirizzi, numeri di telefono e così via.

Origin

E’ stata scoperta una vulnerabilità sulla piattaforma Origin di Electronic Arts la quale poteva consentire a potenziali aggressori di utilizzare lo store come canale per indurre gli utenti a eseguire qualsiasi app scelta dall’attaccante.

La vulnerabilità potrebbe teoricamente essere stato utilizzata per scaricare e installare programmi dannosi sui computer di ignari utenti che hanno fatto clic su un collegamento malevolo. Il bug di Origin è stato risolto, tuttavia sottolineiamo che i malintenzionati potrebbero aver preso anche dati di accesso, per questo motivo consigliamo un rapido aggiornamento della password.

Cisco

Una vulnerabilità nella funzionalità di gestione dell’immagine software di Cisco DNA Center potrebbe consentire a un utente malintenzionato remoto autenticato di accedere ai servizi interni senza ulteriore autenticazione. Sono interessate le versioni DNAC precedenti alla 1.2.5.

La vulnerabilità è dovuta a una convalida insufficiente dell’input fornito dall’utente. Un utente malevolo può sfruttare questa vulnerabilità inviando richieste HTTP arbitrarie ai servizi interni. Un exploit potrebbe consentire all’utente malintenzionato di ignorare qualsiasi firewall o altre protezioni per accedere a servizi interni non autorizzati.