Nuovo whitepaper “Mitigating Software Vulnerabilities”

[English readers: you can find English links in this post for your convenience] Il team di Security Engineering di Microsoft ha approfittato del rilascio di sicurezza di luglio per pubblicare un interessante whitepaper dal titolo “Mitigating Software Vulnerabilities”: Security Research & Defense > Mitigating Software Vulnerabilities L’intento del documento è quello di poter stimolare una…


Nuova versione della Microsoft Security Update Guide

[English readers: you can find English links in this post for your convenience] Quale miglior momento se non il consueto secondo martedì del mese (e di un mese denso di bollettini ) per ricordarvi della recente pubblicazione della seconda edizione della Microsoft Security Update Guide? MSRC > Announcing the Microsoft Security Update Guide, Second Edition…


Nuove risorse sul processo di gestione delle vulnerabilità e dei bollettini di sicurezza

[English readers: you can find English links in this post for your convenience] Vi segnalo alcune nuove risorse per approfondire i processi con cui il Microsoft Security Response Center (MSRC) gestisce le vulnerabilità e provvede alla realizzazione dei bollettini correttivi. Il post del team di Security Research & Defense in cui si spiegano i dettagli…

0

E’ giusto pagare in denaro chi scopre le vulnerabilità?

[English readers: you can find English links in this post for your convenience] In scia con l’annuncio sul cambio di policy verso il Coordinated Vulnerability Disclosure (CVD), il MSRC ha postato un importante riflessione a tutto tondo su diversi aspetti “caldi” della gestione delle vulnerabilità: l’approccio alla risoluzione, la gestione della complessità, il time-to-fix, la…


Le politiche di patching di Microsoft ed Apple a confronto

[English readers: you can find English links in this post for your convenience] Scusate il ritardo, rieccomi! Mentre mi organizzo a rispondere ai diversi commenti del mio penultimo post che ha scatenato il dibattito sulle politiche di disclosure, eccovi un altro spunto di riflessione: ServerWatch: Apple vs. Microsoft: Patch Management Polar Opposites Io posso dirvi…


Ecco il bollettino straordinario MS08-078 su IE, ed alcune considerazioni sullo scenario di rischio

Puntuale rispetto al preavviso, stasera Microsoft ha rilasciato il bollettino straordinario “MS08-078 – Security Update for Internet Explorer (960714)”. L’analisi di rischio è presto fatta (anche perché la maggior parte dei dettagli importanti è stata anticipata in occasione dell’advisory e del preavviso): si tratta di una vulnerabilità di tipo Remote Code Execution che interessa tutte…

7

“Sicurezza, open source, codice proprietario, interoperabilità” alla 2a Giornata della sicurezza in Sardegna

Mercoledì prossimo, 5 novembre 2008, sarò ospite della seconda edizione della "Giornata della sicurezza informatica in Sardegna", organizzata da Sardegna Ricerche e dal Lab. Intelligenza d’ambiente di Sardegna DistrICT. Come riporta la pagina che descrive l’evento: "Lo scopo di questa giornata è fornire una fotografia dei principali attacchi informatici osservati su scala nazionale e internazionale…


Black Hat 2008: Microsoft Security Vulnerability Research (MSVR)

Riprendendo il filo da dove l’avevo interrotto (scappando in ferie 😉 mi restava da condividere l’ultimo annuncio fatto da Microsoft in occasione del Black Hat 2008, che, tra l’altro, non mi sembra sia stato ripreso da altre fonti informative: Microsoft Security Vulnerability Research (MSVR) Di cosa si tratta? Rispetto alle vulnerabilità di sicurezza fino ad…

2

Black Hat 2008: Microsoft Active Protections Program (MAPP)

Come per l’annuncio del Microsoft Exploitability Index nel post precedente, anche per quest’annuncio può essere utile darvi un po’ di indicazioni storiche e di contesto. Forse, infatti, non tutti sanno che fino ad ora l’approccio di Microsoft nel comunicare esternamente i dettagli sulle vulnerabilità è stato quanto di più "equo" si potesse immaginare: in linea…


Black Hat 2008: Microsoft Exploitability Index

La parola che molti clienti diranno alla vista di questo annuncio è: finalmente! L’attività di security advisoring che io e il mio team Premier Center for Security (PCfS) abbiamo da sempre realizzato in corrispondenza del rilascio dei bollettini di sicurezza Microsoft è stata quella di contestualizzare l’analisi di rischio generica riportata dal bollettino rispetto allo…