Autore: Pecciola

Ancora bachi di sicurezza molto pericolosi in applicazioni utilizzate quotidianamente da milioni di utenti. Microsoft ha rilasciato un bollettino di security in cui sottolinea di aver scoparto una falla in Excel che potrebbe portare ad eseguire codice da remoto.

Il Bug Excel :

In pratica se ricevete via mail un file di Excel esposto al rischio la possibilità che un trojan si insinui è molto elevata e quindi occhio a  file che vi arrivano soprattutto se provenienti da fonti sconosciute. 
Microsoft si sta adoperando per capire le cause e mettere in piedi una patch quanto prima per evitare disastri e McAfee informa che, per ora, il numero degli attacchi è limitato ma coloro che sono colpiti hanno una backdoor e un malware in ascolto sulla porta 80 del loro PC. (continua…)

Autore: Pecciola

Piuttosto importante la notizia che circola da ieri in relazione ad una falla scoperta da Core Security Technologies. Si tratta di un pericoloso bug in Adobe Reader, il popolare software per la visualizzazione dei documenti in formato Pdf, ugualmente presente in Acrobat. 

In pratica un hacker potrebbe piazzare codice javascript malevolo all’interno di un pdf e, una volta aperto questo file, lo stesso hacker sarebbe in grado di eseguire codice arbitrario all’interno del vostro PC con i privilegi utente fino a poter, addirittura, prendere possesso del vostro computer con tutti i danni conseguenti.  (continua…)

Scritto da Pecciola

Dopo l’annuncio di ieri, Microsoft ha rilasciato l’attesa patch preannunciata con tanta enfasi : MS08-067

Insieme alla distribuzione dell’update, sono stati resi disponibili anche alcuni dettagli per una descizione dettagliata del problema di sicurezza che la patch risolve e che giustificano questo straordinario rilascio. Ricordiamo che Microsoft prevedeva sempre un unico rilascio cumulativo ogni  mese circa, quindi in questo caso si è trattato di uno "strappo alla regola", dettati dalla criticità del bug che si è andato a correggere.
Il bug rilevato in Microsoft Windows 2000, XP, Vista e in Windows Server 2008, da quello che si evince potrebbe essere facilmente sfruttato da un worm. Siamo ben lontani, dicono dal quartier generale di Microsoft, da un attacco virale esteso, ma una rapida installazione della patch è vivamente consigliata. La pericolosità della falla è stata definita come importante per Vista e Windows 2008 mentre è critica per i sistemi operativi meno recenti.
A questo indirizzo potete trovare ulteriori informazioni importanti al riguardo. Microsoft consiglia, comunque, un veloce update di tutti i pc che utilizzano i sistemi Windows impattati tramite il sistema Windows Update.

Autore: Pecciola

Davvero preoccupante la vulnerabilità appena scoperta che riguarda tutti i browser web. Battezzata "clickjacking" ( "scippo dei click"). Scoperta qualche mese fada due ricercatori americani, Robert Hansen e Jeremiah Grossman, questa vulnerabilità è stata portata alla ribalta della cronaca solo pochi giorni fa da un giornalista di ZDNet, Ryan Naraine. Eccovi l’articolo originale : Clickjacking: Researchers raise alert for scary new cross-browser exploit.

Il clickjacking è una tecnica che "cattura" (con l’inganno) il click del vosto mouse e lo rindirizza su un oggetto diverso da quello che l’utente intendeva cliccare. Esempio banale: l’utente fa click su un link per accedere ad una pagina web e questo suo click viene rediretto, a sua insaputa, su un pulsante che attiva un’azione completamente diversa.L’utente è così costretto a fare quasi qualunque cosa all’interno di una pagina web. Intuirete la pericolistà della falla scoperta!

Per implementare il meccanismo fraudolento si può sfruttare il Javascript oppure usando un "inner frame"(IFRAME) nascosto.
La tecnica basata su Javascript è davvero molto semplice. Il click dell’utente su qualsiasi un elemento di una pagina HTML non mette a segno nessuna azione in sé, ma genera soltanto un evento particolare che, a sua volta, viene catturato e gestito da una apposita funzione Javascript (in questo caso "onclick()")scritta e gestita dal programmatore. Pertanto non è difficile far risultare che il click del mouse provenisse da un elemento diverso da quello clickato dall’utente. Questa tecnica è esplicitamente prevista dagli standard HTML e JavaScript e viene spesso utilizzata dai programmatori ma logicamente a fini legittimi.
Ben più preoccupazioni crea la seconda tecnica,quella basata sul tag IFRAME.

Si nasconde un inner frame ("cornice interna") all’interno della pagina web cosicchè tutti i click effettuati "colpiscono" gli elementi di questo inner frame.
Non sono stati rivelati precisamente i dettagli di tale tecnica perché Adobe (che produce "Flash" e "Reader") ha chiesto il massimo silenzio al riguardo per eliminare una vulnerabilità, collegata a questa, che riguarda uno dei suoi prodotti.
Tutti i browser attualmente in uso sono affetti da tale falla e solo i browser molto, molto vecchi (Internet Explorer fino alla Release 4.0 esclusa, Netscape Navigator fino alla Release 4.0 esclusa etc.) ne sono immuni non supportando le funzionalità di base per sfruttare questa vulnerabilità.

E bene precisare che non si rischia di vedere il conto corrente ripulito oppure veder ordinati prodotti da siti ecommerce a nostra insaputa,ma i nostri click potrebbero essere usati per iscriverci a nostra insaputa alle newsletter (violando l’attuale legge sulla privacy) oppure possono essere utilizzati per far guadagnare abusivamente (al gestore del sito) un po’ di soldi dai banner pubblicitari (AdSense e simili).

Per risolvere il problema (essendo il baco immerso nella progettazione stessa del Web) non c’è una soluzione definitiva. Occorrerà ridefinire il modo in cui vengono gestiti i click e le azioni dell’utente da parte dei browser,ma questo, inutile dirlo, richiederà molto,molto tempo.

Autore: Pecciola

Senza tregua e senza fine i problemi di sicurezza per QuickTime, il ben noto lettore multimediale di Apple da tempo sul mercato distribuito con iTunes. Sono passati appena 10 giorni dal rilascio dell’ultima patch che aveva risolto una decina di bug ed ecco spuntare una nuova vulnerabilità.

La nuova falla è stata rivelata dal sito web milw0rm.com che ha evidenziato i possibili pericoli di sicurezza dei sistemi su cui QuickTime è installato. Sembra che il baco risieda nel parametro "<? quicktime type= ?>". che non parrebbe essere in grado di gestire correttamente le stringhe di codice molto lunghe. Questo comporterebbe un crash di tutta l’applicazione. Ma, e qui arriva la nota dolente, tale problema potrebbe non solo rendere difficile utilizzare il lettore.

Secondo Aaron Adams (ricercatore per la software house Symantec), il baco potrebbe condurre anche alla esecuzione di codice non autorizzato dall’utente nel sistema tramite un file specifico e creato per sfruttare tale bug. Tale file, caricato su un sito web, indurrebbe l’ ignaro utente a effettuarne il download e poi lanciarlo in locale. Così facendo ogni utente con intenzioni bellicose potrebbe accedere al sistema con tutte le conseguenze del caso.

Pertanto Adams consiglia vivamente agli utenti di disattivare il plug-in di QuickTime dei sistemi operativi Windows e Mac OsX. Apple, che ad oggi non ha dichiarto nulla in relazione a questa nuova vulnerabilità, potrebbe rilasciare a giorni l’ennesima patch.