Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
English Spanish
Cerca
UtiliaCS 970x120
2nd Edition GlitchZone RHC 320x100 2

Tag: buffer overflow

Vulnerabilità in Oracle VirtualBox: rischio di fuga da macchina virtuale

Redazione RHC 26/10/2025

Gli specialisti di BI.ZONE hanno identificato due vulnerabilità (CVE-2025-62592 e CVE-2025-61760) in Oracle VirtualBox. Combinate assieme consentivano a un aggressore di uscire da una macchina virtuale e raggiungere il sistema host macOS basato su ARM. Si sottolinea che questa è la prima catena di vulnerabilità di questo tipo di cui si abbia notizia pubblica dal rilascio della versione 7.1.0 di VirtualBox nel 2024, che ha introdotto il supporto ARM in macOS. La vulnerabilità CVE-2025-62592 (punteggio CVSS 6.0) è stata scoperta nella scheda grafica virtuale QemuRamFB nel gestore di lettura MMIO qemuFwCfgMmioRead. Consente a un aggressore di leggere una quantità illimitata di memoria

WhatsApp e Apple in emergenza: il bug DNG permette il controllo remoto senza click

Redazione RHC 08/09/2025

Il 20 agosto, Apple ha rilasciato un aggiornamento di sicurezza non programmato per tutti i principali sistemi operativi: iOS, iPadOS, macOS e altre piattaforme. La patch risolve la vulnerabilità CVE-2025-43300 nel modulo ImageIO: un errore di buffer overflow che è stato risolto tramite un controllo dei limiti più rigoroso durante l’elaborazione delle immagini. La vulnerabilità ha ricevuto crescente attenzione: è stata segnalata come “sfruttata in attacchi reali” e senza l’intervento dell’utente. Separatamente, WhatsApp ha rilasciato una correzione, sottolineando che gli aggressori potrebbero forzare il dispositivo della vittima a scaricare una risorsa da un URL arbitrario e ad avviarne l’elaborazione; si ritiene che

Vulnerabilità zero-day in azione sui router TP-Link: cosa sapere fino al rilascio della patch

Redazione RHC 05/09/2025

È stata scoperta una nuova vulnerabilità zero-day che colpisce diversi modelli di router TP-Link. Il problema, identificato come un buffer overflow nell’implementazione del protocollo CWMP (CPE WAN Management Protocol), potrebbe consentire a un attaccante di eseguire codice arbitrario e reindirizzare le richieste DNS a server falsi. La vulnerabilità è stata segnalata da un ricercatore indipendente noto con il nickname Mehrun (ByteRay) l’11 maggio 2024. TP-Link ha confermato l’esistenza dell’errore e sta lavorando sugli aggiornamenti per risolvere il problema. Al momento, la correzione è disponibile solo per le versioni firmware europee, mentre l’adattamento per gli Stati Uniti e altre regioni è ancora in

Vulnerabilità in 7-Zip: gli aggressori possono eseguire attacchi di denial-of-service

Redazione RHC 21/07/2025

Una falla critica nella sicurezza, relativa alla corruzione della memoria, è stata individuata nel noto software di archiviazione 7-Zip. Questa vulnerabilità può essere sfruttata da malintenzionati per provocare condizioni di denial-of-service mediante la creazione di archivi RAR5 dannosi. Si tratta del CVE-2025-53816, conosciuto anche come GHSL-2025-058, e riguarda tutte le edizioni precedenti alla 25.00 di 7-Zip. A questa falla scoperta del ricercatore Jaroslav Lobačevski, è stato assegnato un punteggio CVSS pari a 5,5, collocandola quindi nella categoria di gravità media. La falla, sebbene non prometta l’esecuzione di codice arbitrario, potrebbe comportare comunque rischi sostanziali per gli attacchi di tipo denial-of-service, soprattutto verso

C++ Verso L’oblio! Il suo creatore allerta la community a trovare velocemente una soluzione

Redazione RHC 03/03/2025

Bjarne Stroustrup, creatore del linguaggio C++, ha contattato la comunità degli sviluppatori chiedendo la protezione del suo linguaggio di programmazione, che negli ultimi anni è stato oggetto di critiche da parte degli esperti di sicurezza informatica. Il motivo principale degli attacchi è il problema della sicurezza della memoria, che ha portato all’esclusione del C++ dall’elenco dei linguaggi consigliati nei progetti governativi e aziendali. C e C++ richiedono una gestione manuale della memoria, il che li rende vulnerabili a bug quali buffer overflow o perdite di memoria. Problemi come questi costituiscono la maggior parte delle vulnerabilità nelle basi di codice di grandi dimensioni. Di conseguenza,

Categorie