Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
Banner Ancharia Desktop 1 1
LECS 320x100 1

Tag: javascript

Microsoft Edge protegge la modalità Internet Explorer dagli attacchi

Redazione RHC 24/10/2025

Il team di sicurezza di Microsoft Edge ha apportato modifiche significative alla modalità Internet Explorer dopo aver ricevuto conferma di attacchi mirati che la utilizzavano. Gli esperti hanno scoperto che gli aggressori hanno sfruttato vulnerabilità nel motore JavaScript Chakra, obsoleto e integrato in Internet Explorer, per ottenere l’accesso remoto ai dispositivi degli utenti. Gli attacchi hanno dimostrato che anche nei browser moderni, le funzionalità legacy possono diventare un canale pericoloso per la compromissione del sistema. La modalità Internet Explorer in Edge è stata creata come soluzione temporanea per supportare siti web e portali aziendali legacy che si basavano su tecnologie come ActiveX

Internet Explorer è “morto”, ma continua a infettare con i suoi bug i PC tramite Edge

Luca Galuppi 14/10/2025

Nonostante Internet Explorer sia ufficialmente fuori supporto dal giugno 2022, Microsoft ha recentemente dovuto affrontare una minaccia che sfrutta la modalità Internet Explorer (IE Mode) in Edge, progettata per garantire compatibilità con applicazioni legacy e portali governativi. I Cyber criminali hanno sfruttato vulnerabilità zero-day nel motore JavaScript Chakra, abbinate a tecniche di social engineering, per eseguire codice remoto e ottenere il controllo completo dei dispositivi delle vittime. “La nostra squadra di sicurezza ha ricevuto intelligence secondo cui attori malevoli stavano abusando della modalità IE in Edge per compromettere dispositivi ignari,” spiega Gareth Evans, responsabile della sicurezza di Microsoft Edge. Gli attacchi seguivano

Attacchi informatici tramite vulnerabilità zero-day in Zimbra Collaboration Suite

Redazione RHC 06/10/2025

I ricercatori di StrikeReady hanno identificato una serie di attacchi mirati in cui gli aggressori hanno sfruttato una vulnerabilità zero-day in Zimbra Collaboration Suite (ZCS), una popolare piattaforma di posta elettronica open source utilizzata da numerose agenzie governative e aziende in tutto il mondo. La vulnerabilità, identificata come CVE-2025-27915, è una vulnerabilità XSS causata da un filtraggio insufficiente dei contenuti HTML nei file di calendario .ICS. Di conseguenza, un aggressore potrebbe iniettare codice JavaScript dannoso ed eseguirlo nel contesto della sessione dell’utente. I file ICS, noti anche come iCalendar, vengono utilizzati per archiviare dati di eventi, riunioni e attività e sono ampiamente

Arriva MatrixPDF: bastano pochi click e il phishing è servito!

Redazione RHC 01/10/2025

È stato scoperto un nuovo toolkit di phishing, MatrixPDF, che consente agli aggressori di trasformare normali file PDF in esche interattive che aggirano la sicurezza della posta elettronica e reindirizzano le vittime a siti Web che rubano credenziali o scaricano malware. I ricercatori di Varonis, che hanno scoperto lo strumento, sottolineano che MatrixPDF viene pubblicizzato come un simulatore di phishing e una soluzione per specialisti di red team. Tuttavia, sottolineano che è stato individuato per la prima volta su forum di hacker. “MatrixPDF: è uno strumento avanzato per la creazione di PDF di phishing realistici, progettato per i team di red team

Il codice come lo conoscevamo è morto! L’Intelligenza Artificiale scrive il futuro

Redazione RHC 25/09/2025

Dal 2013, l’IEEE pubblica una classifica annuale interattiva dei linguaggi di programmazione più popolari. Tuttavia, oggi i metodi tradizionali per misurarne la popolarità potrebbero perdere di significato, a causa dei cambiamenti nel modo in cui programmiamo. Nell’ultima classifica IEEE Spectrum, Python si riconferma al primo posto. JavaScript ha registrato il calo maggiore, scendendo dal terzo al sesto posto. Nel frattempo, anche nella categoria separata “Lavoro“, che tiene conto solo della domanda dei datori di lavoro, Python ha preso il sopravvento. Tuttavia, SQL rimane una competenza chiave nei curriculum degli sviluppatori. La metodologia di classificazione si basa su una raccolta di dati aperti:

Un bug critico in Ollama consente attacchi di sostituzione del modello

Redazione RHC 20/08/2025

Una vulnerabilità nel popolare strumento di lancio di modelli di intelligenza artificiale Ollama ha aperto la strada ad attacchi drive-by , consentendo agli aggressori di interferire silenziosamente con l’applicazione locale tramite un sito Web appositamente preparato, leggere la corrispondenza personale e persino sostituire i modelli utilizzati, caricando anche versioni infette. La falla di sicurezza è stata scoperta e divulgata il 31 luglio da Chris Moberly, Senior Security Manager di GitLab. La vulnerabilità riguardava Ollama Desktop v0.10.0 ed era correlata a un’implementazione errata dei controlli CORS nel servizio web locale responsabile della GUI. Di conseguenza, JavaScript su una pagina dannosa poteva scansionare un

Vibe Coding fuori controllo. L’IA Genera codice vulnerabile, ma tutti se ne fregano

Redazione RHC 02/08/2025

L’intelligenza artificiale sta diventando sempre più un assistente per i programmatori, ma uno studio di Veracode ha dimostrato che la praticità comporta un rischio per la sicurezza. Un’analisi di 100 modelli linguistici principali (LLM) ha rivelato uno schema allarmante: in quasi la metà dei casi, i modelli generano codice vulnerabile. Secondo un rapporto di Veracode, il 45% del codice generato dalle attività conteneva vulnerabilità note. E questo vale anche per i modelli più nuovi e potenti. La situazione non è cambiata molto negli ultimi due anni, nonostante il progresso tecnologico. Sono stati condotti test su 80 task in quattro linguaggi di programmazione:

Firefox 141: rilasciato un aggiornamento critico di Sicurezza

Redazione RHC 24/07/2025

Il 22 luglio 2025, Mozilla ha rilasciato Firefox 141, un aggiornamento volto a migliorare la sicurezza del browser. Nell’ambito del Bollettino MFSA 2025-56, sono state risolte 18 vulnerabilità, tra cui errori relativi al motore JavaScript, a WebAssembly, al meccanismo di isolamento degli iframe e alla Content Security Policy (CSP). A due vulnerabilità è stato assegnato un livello di gravità elevato. La prima, il CVE-2025-8027, è stata scoperta nel compilatore JIT di IonMonkey: su piattaforme a 64 bit, scriveva parzialmente il valore di ritorno, creando le condizioni per un funzionamento errato dello stack e la potenziale esecuzione di codice arbitrario. La seconda, il

Sicurezza Informatica: CISA e NSA Raccomandano Linguaggi di Programmazione Sicuri

Redazione RHC 28/06/2025

Le principali agenzie statunitensi per la sicurezza informatica, CISA e NSA, hanno pubblicato un documento congiunto che raccomanda agli sviluppatori di software di optare per linguaggi di programmazione considerati “sicuri per la memoria”. Questi linguaggi sono progettati per fornire una protezione contro i crash critici causati da errori nella gestione della memoria, che rappresentano una delle tipologie di vulnerabilità più pericolose e frequenti. Il documento sottolinea che gli errori di accesso non autorizzato alla memoria continuano a rappresentare una delle principali minacce sia per gli utenti standard che per i sistemi informativi critici. Tuttavia, linguaggi come Rust, Go, C#, Java, Swift, Python

Sicurezza dei Linguaggi di Programmazione: Qual è il Più Sicuro per le Tue App Web?

Alessandro Rugolo 03/07/2024

Parliamo di sicurezza dei linguaggi di programmazione. Avete mai sentito dire che esistono linguaggi di programmazione sicuri e altri meno? Io si, ma mi sono sempre chiesto cosa ciò possa significare in pratica. Credo sia arrivato il momento di scoprirlo assieme. Per non perderci nei meandri dei linguaggi di programmazione cercherò di concentrarmi solo su una categoria, ovvero su quei linguaggi più adatti allo sviluppo di applicazioni web. La sicurezza è un aspetto fondamentale nello sviluppo di applicazioni web ed ogni linguaggio ha le proprie caratteristiche e best practice da rispettare per garantire la sicurezza delle applicazioni. Naturalmente non tutti gli aspetti di

Categorie