Multilingua
Altri guai per Linux: scoperta una vulnerabilità in Polkit vecchia di 12 anni

Tempo di lettura: 2 minuti.
E' stata scoperta una vulnerabilità di sicurezza, vecchia di 12 anni, di un'utilità di sistema chiamata Polkit che concede i privilegi di amministratore agli attaccanti sui sistemi Linux.
Battezzato “PWNKIT” dagli esperti di Qualys, la debolezza influisce su un componente in Polkit chiamato PKexec: un programma installato per impostazione predefinita su tutte le principali distribuzione Linux come Ubuntu, Debian, Fedora e Centos.
Polkit (precedentemente chiamato policyKit) è un toolkit per il controllo dei privilegi a livello di sistema nei sistemi operativi Unix e fornisce un meccanismo per i processi non privilegiati per comunicare con i processi privilegiati.
Il difetto, che riguarda un caso di corruzione della memoria ed è stato identificato CVE-2021-4034, è stato segnalato agli sviluppatori Linux il 18 novembre 2021, seguendo quali patch sono state emesse da Red Hat e Ubuntu.
PKEXEC, analogo al comando sudo, consente all'utente autorizzato di eseguire comandi come un altro utente, come alternativa a sudo. Se non viene specificato alcun nome utente, il comando da eseguire verrà eseguito come utente Super Admin Root.
Pwnkit deriva da una scrittura fuori dai limiti che consente la reintroduzione delle variabili di ambiente “non sicure” nell'ambiente di PKEXEC. Sebbene questa vulnerabilità non sia sfruttabile da remoto, un utente malintenzionato che ha già stabilito un punto d'appoggio su un sistema tramite un altro mezzo, può armare il difetto per ottenere i privilegi di root completi.
Quanto descritto, è il secondo difetto di sicurezza scoperto in Polkit da quando è stato sviluppato tanti anni fa. Nel giugno del 2021, il ricercatore di GitHub Security, Kevin Backhouse, ha rivelato dettagli su una vulnerabilità di escalation privilegi risalente da sette anni (CVE-2021-3560) che potrebbe essere abusata per intensificare le autorizzazioni di un utente in root.
Inoltre, la divulgazione di tale notizia arriva anche vicino ai talloni di un difetto di sicurezza che colpisce il kernel Linux (CVE-2022-0185) che potrebbe essere sfruttato da un utente malintenzionato con accesso a un sistema come utente non privilegiato per aumentarne i diritti a root e spegnere i containers nelle configurazioni di Kubernetes.
Nel 2021 sono aumentati i malware sviluppati per l'ecosistema di Linux e matricedigitale da sempre mette in guardia i lettori sul fatto che Linux e Mac
“non sono più sicuri perchè ci sono meno vulnerabilità o malware, anzi, potrebbero esisterne di più e non c'è una costanza nel rilevarli”.
Multilingua
CISA rilascia sei avvisi sui Sistemi di Controllo Industriale
Tempo di lettura: < 1 minuto. La CISA rilascia sei avvisi sui sistemi di controllo industriale, fornendo dettagli tecnici e consigli su come mitigare le vulnerabilità e proteggere i sistemi industriali da potenziali minacce.

Tempo di lettura: minuto.
Il 26 settembre 2023, la CISA (Cybersecurity and Infrastructure Security Agency) ha rilasciato sei avvisi sui Sistemi di Controllo Industriale (ICS). Questi avvisi forniscono informazioni tempestive su problemi di sicurezza attuali, vulnerabilità e exploit relativi agli ICS. Gli avvisi sono stati rilasciati per aiutare gli utenti e gli amministratori a proteggere i loro sistemi di controllo industriale da potenziali minacce.
Dettagli tecnici e misure di mitigazione
La CISA incoraggia gli utenti e gli amministratori a consultare i nuovi avvisi ICS rilasciati per dettagli tecnici e misure di mitigazione. Gli avvisi sono progettati per fornire informazioni dettagliate su specifiche vulnerabilità e fornire consigli su come mitigare i rischi associati. La tempestiva divulgazione e l'attuazione di misure di sicurezza appropriate sono essenziali per proteggere i sistemi di controllo industriale da attacchi informatici e altre minacce alla sicurezza.
- ICSA-23-269-01 Suprema BioStar 2
- ICSA-23-269-02 Hitachi Energy Asset Suite 9
- ICSA-23-269-03 Mitsubishi Electric FA Engineering Software
- ICSA-23-269-04 Advantech EKI-1524-CE series
- ICSA-23-269-05 Baker Hughes Bently Nevada 3500
- ICSA-23-024-02 SOCOMEC MODULYS GP (UPDATE A)
Importanza della sicurezza dei Sistemi di Controllo Industriale
La sicurezza dei sistemi di controllo industriale è di fondamentale importanza per la protezione delle infrastrutture critiche e degli asset industriali. Gli attacchi ai sistemi di controllo industriale possono avere gravi ripercussioni, inclusa la perdita di controllo su processi e sistemi critici, interruzioni di produzione e potenziali danni a persone e proprietà. La CISA continua a lavorare attivamente per fornire le risorse e le informazioni necessarie per migliorare la sicurezza dei sistemi di controllo industriale e proteggere le infrastrutture critiche nazionali.
Multilingua
Meta Connect 2023: Come seguire la presentazione del Quest 3
Tempo di lettura: < 1 minuto. Meta svela il Quest 3: visore di realtà mista più sottile, con migliore risoluzione, chipset Qualcomm avanzato. Prezzo competitivo a $499. Segui l’evento il 27 settembre!

Tempo di lettura: minuto.
La conferenza annuale Connect di Meta inizia con un keynote il 27 settembre alle 10:00 PT/13:00 ET. Si prevede che il Meta Quest 3 sarà il protagonista dell'evento. L'ultima versione del visore arriva tre anni dopo il suo predecessore e meno di un anno dopo che l'azienda ha svelato il Quest Pro, un visore di realtà mista rivolto agli utenti aziendali.
Focus sul Consumatore e sul Gaming
Mentre aziende come Magic Leap hanno spostato completamente il loro focus sulla formazione aziendale e sulla prototipazione, Meta rimane fortemente investita nel consumatore. Il gaming (e in misura molto minore il metaverso) è dove il gigante dei social media ha trovato più fortuna. Nonostante la VR/AR non abbiano avuto il successo sperato da Mark Zuckerberg e soci, Meta ha un notevole vantaggio rispetto al resto dell'industria (forse ad eccezione di Vive e PlayStation VR).
Dettagli sul Meta Quest 3
Zuckerberg ha personalmente anticipato il Meta Quest 3 su Instagram alcune settimane fa, definendolo “Il primo visore mainstream con realtà mista a colori ad alta risoluzione”, aggiungendo che è “il 40% più sottile e più comodo [del Quest 2]. Migliori display e risoluzione. Chipset Qualcomm di nuova generazione con il doppio delle prestazioni grafiche. Il nostro visore più potente finora.” Ha anche rivelato il prezzo di $499. L'azienda spingerà senza dubbio su questo punto di prezzo che sottocutanea drasticamente il Magic Leap 2 ($3,299) e il proprio Quest Pro ($1,000), senza dimenticare l'800-pound gorilla, l'Apple $3,499 Vision Pro.
Come seguire l'Evento
Per seguire l'evento in diretta, la migliore opzione è segnare la pagina Facebook di Meta. L'azienda trasmetterà in diretta il keynote lì. E, naturalmente, è possibile seguire TechCrunch per le ultime notizie.
Multilingua
Privacy Week: terza edizione con un l’ospite d’eccezione, Max Schrems
Tempo di lettura: 2 minuti. Privacy Week 2023: gli esperti del calibro di Max Schrems e Patrick Breyer discuteranno di protezione dei dati personali, ChatControl e molto altro.

Tempo di lettura: 2 minuti.
La terza edizione della Privacy Week, intitolata “Exposed”, si terrà a Milano dal 25 al 29 settembre 2023, focalizzandosi sull'esposizione delle informazioni personali online. L'evento vedrà la partecipazione di ospiti internazionali, tra cui Max Schrems, noto attivista e legale austriaco, e Patrick Breyer, europarlamentare che discuterà di ChatControl, una proposta di legge dell'Unione Europea per la ricerca di materiale pedopornografico nelle e-mail o chat attraverso l'IA.
Eventi in programma:
- Privacy Debate Championship: un confronto tra studenti delle superiori su temi di privacy e digitale.
- Privacy Night: una serata dedicata allo sharenting, condotta da Diego Passoni.
- Hackathon: sul tema “Privacy by Design”, per coinvolgere le start-up.
- Intervento di Max Schrems: Schrems discuterà della sua battaglia legale per la protezione dei dati dei cittadini europei contro le Big Tech.
- Discussione su ChatControl: con Patrick Breyer, focalizzata sulla ricerca di materiale pedopornografico attraverso l'IA.
- Tavola Rotonda su GDPR e AI ACT: discussione sulle normative europee relative alla privacy e all'intelligenza artificiale.
- Talk sulla Sanità Digitale: discussione sulle opportunità e i rischi legati alla gestione dei dati nel settore sanitario.
- Conversazioni sull'IA: discussione sulle innovazioni portate dall'IA in vari settori.
- Workshop sulle Criptovalute: spiegazioni e discussione sulle criptovalute e la loro percezione nel sistema bancario.
- Privacy Debate Championship: competizione tra scuole superiori su temi di privacy e digitale.
- Presentazione sugli Errori Comuni delle Aziende: relazione sugli errori più comuni commessi dalle aziende in relazione alla data protection nel 2023.
Dettagli organizzativi:
- Quando: 25-29 settembre 2023
- Dove: Streaming online e eventi dal vivo a Milano
- Programma e Registrazione: Sito Ufficiale della Privacy Week
- Partner: Cisco, OneTrust, EUservice, Gruppo Spaggiari, Findomestic, Net Patrol Italia, BSD Legal, SAB Consulting, e altri.
Privacy Week 2023 promette di essere un evento ricco di informazioni e discussioni su temi cruciali relativi alla privacy, alla sicurezza dei dati e alle tecnologie emergenti, fornendo spunti di riflessione e soluzioni pratiche per affrontare le sfide attuali in questi ambiti
- Editoriali2 settimane fa
Vannacci è diventato ricco grazie alle armi spuntate del Mainstream
- L'Altra Bolla2 settimane fa
Elon Musk e X Corp. contro lo stato della California sulla legge AB 587
- Editoriali2 settimane fa
Zelensky fa uso di cocaina? I dubbi e le paure su un alleato “tossico”
- L'Altra Bolla2 settimane fa
Corte d’appello USA: Governo Biden e l’FBI hanno viziato le opinioni social
- L'Altra Bolla3 settimane fa
YouTube sperimenta pulsante “Iscriviti” luminoso
- DeFi3 settimane fa
MetaMask ecco la funzione di scambio ETH in valuta fiat
- L'Altra Bolla2 settimane fa
YouTube e l’intelligenza artificiale insieme per la creatività pubblicitaria
- Tech2 settimane fa
Google Pixel 8: le novità che fanno crescere l’attesa