Vai al contenuto

Toh guarda, immagini assassine anche per Mac

L’aggiornamento di sicurezza arrivato oggi sul mio iBook contiene una patch che corregge una vulnerabilità per certi versi simile a quella della JPEG assassina che sta funestando il mondo Windows.

Infatti la patch di oggi, stando alla descrizione Apple, corregge (fra le altre cose) una falla di Quicktime, etichettata CAN-2004-0926, che consente a un’immagine in formato BMP di sovrascrivere la memoria heap, aprendo quindi la strada a eventuale codice ostile annidato nell’immagine.

Traduzione: anche il Mac può essere danneggiato attraverso le immagini. Non sembra un problema così vasto come quello delle JPEG di Windows, perché per esempio Quicktime non viene invocato dal browser per visualizzare le immagini e quindi non dovrebbe essere possibile infettarsi visualizzando un’immagine online. Né, che io sappia, ci sono in giro “virus” o altri tipi di exploit che sfruttino questa falla. Comunque sia, non è piacevole.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Linux, sicurezza scavalcata premendo 28 volte Backspace

Linux ha una buona reputazione in fatto di sicurezza, e molti linuxiani si bullano della robustezza di questo sistema operativo. Per cui vederli umiliati da un difetto di sicurezza ridicolo come quello scoperto da due ricercatori del Politecnico di Valencia è piuttosto divertente.

I ricercatori, Hector Marco e Ismael Rispoli, hanno infatti trovato che si può scavalcare completamente la sicurezza di un computer Linux correttamente configurato semplicemente premendo il tasto Backspace 28 volte durante l’avvio, quando la macchina chiede il nome dell’utente. C’è infatti un difetto nel bootloader Grub2, per cui queste pressioni ripetute portano alla Rescue Shell di Grub.

Niente panico, comunque: la falla è sfruttabile soltanto da chi ha accesso fisico al computer, per cui è un rischio soltanto in ambienti promiscui, e il bello del software libero è che chiunque può apportare modifiche e correzioni. Infatti i due ricercatori hanno realizzato una patch che risolve il problema. Ubuntu, Red Hat e Debian hanno già pubblicato degli aggiornamenti ufficiali.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Brutta falla in Safari, Mail e Mac OS X, turatela subito: sta peggiorando

Brutta falla in Safari, Mail e Mac OS X, turatela subito: sta peggiorando

Questo articolo vi arriva grazie alle gentili donazioni di “marcoben****”, “ufic” e “info@bbviare****.it”.
L’articolo è stato aggiornato abbondantemente rispetto alla sua pubblicazione iniziale.

L’Internet Storm Center segnala una falla molto grave per gli utenti Mac: riguarda Safari, il browser di Mac OS X, Mail (il programma di posta preinstallato sui Mac) e più in generale l’intero sistema operativo. La falla consente di eseguire qualsiasi comando, a scelta dell’aggressore, sul computer della vittima semplicemente inducendola a visitare un sito-trappola con Safari oppure inviando alla vittima un e-mail appositamente confezionato.

In altre parole, questa è una falla grave come quelle che siamo abituati a vedere in Internet Explorer sotto Windows, dove per infettarsi basta appunto visitare una pagina Web ostile o ricevere un allegato traditore.

Inizialmente si pensava che la falla riguardasse soltanto Safari, ma ora si è estesa anche a Mail e, più in generale, al sistema operativo Mac OS X e al suo modo di gestire i file tramite Finder. Safari e Mail semplificano l’attacco, ma non sono indispensabili.

Per esempio, è possibile inviare un e-mail contenente un allegato che sfrutta la falla: se Mail apre l’allegato, che sembra essere un’immagine, ne esegue invece i comandi.

Il rimedio consigliato, in attesa di una pezza da Apple, è su vari livelli, che vanno applicati tutti:

  • non usare Safari, preferendo altri browser (per esempio Firefox), che non consentono l’esecuzione automatica dell’attacco;
  • se si usa Safari, disattivare l’opzione Apri doc. “sicuri” dopo il download” (si trova in Preferenze – Generale, ed è imprudentemente attiva di default);
  • non lavorare con privilegi di amministratore (cosa che purtroppo avviene con la normale installazione di Mac OS X), ma creare un utente non privilegiato per il lavoro normale. Questo immunizza Mac OS X da questa forma di attacco.
  • non usare Mail (usando altri programmi, come Thunderbird, che sono immuni al problema) o fare molta attenzione a tutti gli allegati, evitando di aprirli cliccandovi sopra in Mail e salvandoli invece manualmente per poi aprirli dopo un controllo descritto qui sotto.

I dettagli tecnici del funzionamento della falla sono ampiamente descritti dalla pagina dell’Internet Storm Center già citata, per cui li salto qui in favore di una descrizione dei suoi effetti e di alcuni test per verificare se siete vulnerabili o no.

Il test di Michael Lehn

Il primo test è questo: visitate con Safari la pagina Web che ospita il proof of concept creato dallo scopritore iniziale della falla, Michael Lehn. Un proof of concept è una versione innocua dimostrativa di come si può sfruttare una falla.

Se siete vulnerabili, Safari scarica automaticamente un file di nome Mac-TV-stream.mov.zip (dall’aria insomma abbastanza innocua) e lo scompatta altrettanto automaticamente; poi esegue uno script che apre una finestra di Terminale, nella quale compare ripetutamente la scritta Hallo Welt (“Ciao mondo” in tedesco, adattamento del classico testo “Hello world” dei programmi per principianti). Al posto di quella scritta potrebbe esserci qualsiasi comando (un comando di cancellazione di tutti i vostri file, per esempio).

Visitando la medesima pagina Web con Safari come utente non privilegiato, la falla è inefficace: compare soltanto un avviso di Quicktime che segnala che il documento non è in un formato riconosciuto.

Impostando Safari in modo che non apra automaticamente i file “sicuri”, il file ostile di prova viene scaricato e scompattato, ma è necessario lanciarlo manualmente. Se lo si lancia come utente non privilegiato, non accade nulla di dannoso (compare l’avviso di Quicktime); se lo si lancia come utente amministratore, il file viene eseguito. Questo significa che la falla è sfruttabile, sia pure in modo meno agevolato, anche tramite un allegato e-mail o altri browser: basta indurre l’utente amministratore ad aprire il file.

Il test Secunia

Anche Secunia ha una pagina informativa e un test innocuo. Il test di Secunia consiste nel cliccare su un link: chi è vulnerabile si vedrà lanciare automaticamente la Calcolatrice. Ecco i risultati sul mio iBook con OS X Tiger 10.4.5:

  • con Firefox usato come amministratore, il test Secunia fallisce;
  • con Safari usato come amministratore e l’apertura dei file “sicuri” disattivata, il test fallisce;
  • con Safari usato come amministratore e l’apertura dei file “sicuri” attivata, il test ha successo e si apre una finestra di Terminale che lancia la Calcolatrice;
  • con Safari usato come utente non privilegiato e l’apertura dei file “sicuri” attivata, il test fallisce: compare un avviso di Quicktime ma non viene eseguito nulla.

Il test via e-mail di Heise.de: il rischio peggiora

Dopo la pubblicazione della prima segnalazione del problema, il sito tedesco Heise.de, che aveva segnalato la prima falla, l’ha approfondita, scoprendo che si estende anche a Mail.app.

Heise.de ha preparato un test innocuo: la pagina è in tedesco, ma basta cliccare su Skript in Apple Mail, digitare il proprio indirizzo di e-mail nella casella e cliccare su Anfordern per ricevere (intasamento del sito permettendo) un e-mail con istruzioni in tedesco.

L’e-mail invita a cliccare su un link (tranquilli, non è una trappola) in modo da aprirlo con un qualsiasi browser. Solo a questo punto ricevete un e-mail contenente il test. Potete verificarne l’autenticità guardando il codice segreto indicato nella pagina Web comparsa quando avete cliccato sul link (il codice è la parola in grassetto dopo in Klammern das Wort).

L’e-mail che arriva da Heise contiene un allegato che sembra essere un’immagine JPG (a giudicare dall’icona), ma in realtà è uno script. Se usate Mail e non avete disabilitato la visualizzazione delle immagini, il fatto che l’immagine non sia visualizzata potrebbe far sorgere un dubbio negli osservatori attenti, ma è facile non accorgersi dell’anomalia. Cliccando sull’allegato in Mail, viene eseguito uno script che apre una finestra di Terminale ed elenca i file presenti in una directory. Lo script avrebbe potuto, per esempio, cancellare tutti i file dell’utente.

Contro questa falla non serve a nulla usare un account non privilegiato: l’effetto è esattamente lo stesso sia usando un utente amministratore, sia usando un utente normale.

Ahi, ahi, ahi.

Per risolvere il guaio, in attesa di correzioni da Apple, chi usa Mail deve evitare di fare clic sugli allegati, e deve invece salvarli e poi esaminarli nel Finder. Le informazioni sui file ricevuti fornite da Ottieni informazioni (clic destro sul file) indicheranno quale applicazione li aprirà: se è Terminale, si tratta di un file ostile, che va quindi eliminato.

Finder, lo schizofrenico

Il problema, stando all’Internet Storm Center, è nella gestione schizofrenica dei file da parte del Finder. Per decidere quale icona mostrare all’utente, il Finder usa sempre e solo l’estensione del file.

Per decidere invece cosa fare con il file, il Finder guarda i permessi del file. Se il file ha i permessi di esecuzione, il Finder lo esegue passandolo a Terminale.app. Se non li ha, il Finder lo gestisce in base all’estensione.

Mail.app è vulnerabile perché gestisce la specificazione dei permessi negli allegati, ossia gestisce il Content-type x-unix-mode. Se l’e-mail che contiene l’allegato ha questo Content type impostato a 0755, Mail salva e gestisce il file come eseguibile. Altri programmi di posta, come Thunderbird, non hanno questa gestione e quindi non rendono eseguibile l’allegato.

Approfondimenti

La discussione della falla su Slashdot è qui. Secondo ZDNet, Apple è già al lavoro per creare una patch ma non si è sbilanciata su quando sarà disponibile.

Non ci sono per ora segnalazioni di siti o di attacchi via e-mail che sfruttano questa falla, ma è soltanto questione di tempo. Prendete le opportune precauzioni, e occhio agli allegati e a quello che scaricate, anche se sembra un file innocuo mandato da un amico.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

[Ixt] Browser Challenge: l’immagine ammazzabrowser risparmia Internet

Questa newsletter vi arriva grazie alle gentili donazioni di “marina1946”, “Lucio Boninu” e “stefano”.

Scusate se mi faccio vivo poco ultimamente, ma sono in semi-vacanza e sono molto preso dallo studio del nuovo arrivo della famiglia del Maniero Digitale: l’iBook.

Confesso che è stato amore a prima vista, e che le attese sono state largamente soddisfatte. Non mi capitava da anni di divertirmi così tanto a studiare un computer nuovo. È un oggetto bello e al tempo stesso funzionale. E poi è UNIX, finalmente! È una gioia lavorare con un computer che non ha mai bisogno di essere spento o riavviato.

Ringrazio tutti per i preziosissimi consigli di migrazione. Li sto distillando in una miniguida che pubblicherò appena sono sicuro di non scrivere stupidaggini. I primi risultati li avete sotto gli occhi: questa è la prima newsletter scritta sotto Mac OS X.

Ma in realtà vi scrivo per raccontarvi un’altra cosa. È stata scoperta da poco una falla piuttosto imbarazzante, che consente di mandare in crash un browser semplicemente cliccando su un link che porta a un’immagine apparentemente innocua. La particolarità è che stavolta, a quanto risulta dalle mie prove, l’imbarazzo non è in casa Microsoft.

Internet Explorer aggiornato, infatti, regge benissimo; sono i browser alternativi, come Opera, Mozilla, Firefox e Safari, a cadere come pere.

La falla è così semplice e così insolita che mi sembra degna di una nuova pagina del Browser Challenge. Divertitevi e raccontatemi com’è andata con i vostri browser preferiti.

Il test dell’immagine assassina è qui.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Zio Ballmer e il Baco Quasi Maggiorenne [UPD 2010/01/21]

Zio Ballmer e il Baco Quasi Maggiorenne [UPD 2010/01/21]

Questo articolo vi arriva grazie alle gentili donazioni di “g_giamma****” e “maurat****”. L’articvolo è stato aggiornato dopo la pubblicazione iniziale.

Come se non bastassero i guai con Internet Explorer, adesso sbuca anche una falla che è presente in tutte le versioni di Windows prodotte dal 1993 in poi. C’è in XP, Server 2003, Vista, Server 2008 e in Windows 7. E permette a un utente non privilegiato di iniettare codice direttamente nel kernel del sistema operativo. Ops.

Il problema risiede nella Virtual DOS Machine di Windows, come spiegato in dettaglio nell’annuncio pubblicato da Tavis Ormandy. Che lavora per Google. Volendo essere malizioso, direi che Google sta facendo i dispetti a Steve Ballmer.

Ormandy scrive di aver avvisato formalmente Microsoft del problema a giugno del 2009 e di aver tenuto segreta la scoperta della vulnerabilità, ma visto che i mesi passano e il problema non viene risolto, ha deciso di fare un annuncio pubblico.

Fortunatamente il baco è facilmente eliminabile disattivando i sottosistemi MSDOS e WOWEXEC, che di solito non servono comunque (servono per le applicazioni vecchie DOS e Windows 3.1 a 16 bit). Non ci sono attacchi noti in corso che sfruttino questa falla, ma probabilmente è questione di tempo.

Altre fonti: The Register.

2010/01/21

Microsoft ha confermato la vulnerabilità in Windows 2000 SP4, Windows XP SP2 e SP3, Windows Server 2003 SP2, Vista, Vista SP1 e SP2, Windows Server 2008 a 32 bit (anche con SP2) e Windows 7 a 32 bit. L’advisory di conferma include anche le istruzioni su come rimediare. Secondo Microsoft, la falla è sfruttable soltanto se l’aggressore ha credenziali di logon valide ed è in grado di fare logon localmente, ma non è sfruttabile da remoto o da utenti anonimi: in tal caso, la probabilità di attacchi significativi è abbastanza scarsa.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Altra falla di Internet Explorer

Avessi tempo, la includerei nel Browser Challenge.

Basta una cliccata su una pagina Web ostile con Internet Explorer e il sito ostile può installare nel vostro computer quello che gli pare. Come al solito, la soluzione è disattivare Active Scripting (e, già che ci siamo, anche Javascript):
http://www.securityfocus.com/archive/1/365293/2004-06-06/2004-06-12/2

Articolo su Computerworld:
http://www.computerworld.com.au/index.php?id=117316298&eid=-255

Discussione su Slashdot:
http://slashdot.org/articles/04/06/09/116237.shtml?tid=113&tid=126&tid=172&tid=95

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Firefox 1.5 fallato, ma non gravemente come sembrava

Falla in FireFox. Non è critica ma sempre meglio aggiornare

Questo articolo vi arriva grazie alle gentili donazioni di “eversordvl”, “gennies” e “paolo.bon****”.

Packetstorm Security ha annunciato una falla nella nuova versione, la 1.5, del popolare browser alternativo gratuito Firefox (disponibile per Linux, Mac e Windows in inglese e molte altre lingue, italiano compreso). La notizia è stata riportata inizialmente con molto allarme da parte di CNet.com. Tuttavia la falla è meno grave di quanto sembrasse inizialmente, e per molti utenti semplicemente non esiste. CNet.com ha pubblicato una rettifica.

La reputazione di sicurezza di Firefox rimane quindi piuttosto solida, specialmente se confrontata con le numerose falle devastanti che persistono in Internet Explorer. È per questo che consiglio da anni di usare Firefox o Opera al posto di Internet Explorer e pubblico il pulsante di invito a Firefox in questo blog.

A proposito: se usate già Firefox, vi consiglio vivamente di aggiornarlo alla versione 1.5, che ha migliorato nettamente le proprie prestazioni. Per esempio, adesso è attivo l’aggiornamento automatico; quando chiudete e riavviate Firefox, riapre automaticamente le pagine Web che stavate consultando. Ci vuole però una piccola cautela: se usate le estensioni di Firefox (piccole applicazioni aggiuntive che ne estendono le funzioni, come la Netcraft Toolbar, utile per rivelare i siti-trappola), verificate che siano già uscite le versioni aggiornate di queste estensioni. Firefox 1.5, infatti, disabilita per sicurezza le estensioni non aggiornate, per cui potreste trovarvi con un Firefox limitato rispetto al solito. Firefox 1.5, fra l’altro, cerca automaticamente gli aggiornamenti delle estensioni. Se non sapete cosa sono le estensioni e non le usate, aggiornate Firefox senza preoccupazioni.

Tornando alla presunta falla, si tratta di un errore nel modo in cui Firefox gestisce i titoli delle pagine Web se sono estremamente lunghi. Se Firefox si imbatte in una pagina che ha un titolo (quello che compare nella barra del browser) lunghissimo, creato con questo trucchetto, può piantarsi e rifiutarsi di ripartire. Il problema riguarda soltanto la versione Windows, e non si verifica sempre. Anzi, la Mozilla Foundation, che produce Firefox, non è riuscita a ricreare il problema nonostante numerosi tentativi, e lo stesso è successo a molti utenti.

Per quanto risulta finora, il difetto (se si presenta) non causa danni all’integrità e alla stabilità del sistema operativo e quindi non dovrebbe consentire attacchi o penetrazioni del computer dell’utente. Semplicemente, Firefox si pianta. Questo non è comunque un bene, ed è opportuno che la falla venga corretta al più presto.

Se vi imbattete in questo problema, potete rimediare in vari modi, descritti dal Sans Institute:

  • Impostate Firefox in modo che non conservi la cronologia dei siti visitati: scegliete Strumenti – Opzioni – Privacy – Cronologia, poi cliccate su Svuota e impostate a zero il numero di giorni per il quale Firefox ricorda le pagine visitate.
  • Trovate e cancellate manualmente il file history.dat, nel quale viene memorizzato il titolo ostile, e riavviate Firefox; Firefox ricreerà automaticamente il file.
  • Dopo aver chiuso Firefox, modificate il file prefs.js aggiungendo questa riga:
    user_pref(“capability.policy.default.HTMLDocument.title.set”,”noAccess”);
  • Usate l’estensione Noscript.

Se vi imbattete in questo problema, segnalatelo (insieme alla vostra soluzione) nei commenti.

Ciao da Paolo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Sony, nuova falla in altro sistema anticopia

Per proteggere i suoi dischi, Sony rende vulnerabili i vostri PC. Di nuovo

Questo articolo vi arriva grazie alle gentili donazioni di “fam.tasca”, “iubatus” e “pot”.

Dopo la figuraccia disastrosa fatta con il sistema anticopia XCP, che infetta volontariamente i computer degli utenti e li rende vulnerabili, Sony rimedia un altro sfacelo. Anche il sistema MediaMax usato per proteggere (si fa per dire) i suoi dischi apre il computer degli utenti ad attacchi informatici, dando a tutti (aggressori esterni compresi) accesso totale al computer.

La Electronic Frontier Foundation ha pubblicato un rapporto (PDF) che spiega la nuova vulnerabilità. In estrema sintesi, i dischi anticopia contenenti MediaMax installano sui PC Windows del software usando privilegi di accesso sbagliati: invece di essere eseguibile soltanto dall’utente normale, il software è eseguibile da chiunque, anche da comandi provenienti da Internet.

Questo rende inutile la tattica di protezione, molto diffusa nelle aziende, di concedere agli utenti diritti limitati di esecuzione, in modo che non possano installare giochini o altre porcherie trovate in Rete, e permette sia attacchi dall’esterno, sia “attacchi” da parte dell’utente stesso, che può installare e modificare quello che gli pare. Un incubo per gli amministratori dei sistemi informatici.

La EFF chiarisce la cosa con un’ottima analogia:

Immaginate un dipendente al quale vengono date le chiavi del proprio ufficio e della porta d’ingresso all’edificio in cui lavora, ma non le chiavi degli altri uffici o del magazzino. Ci sono molti modi per ottenere un accesso più ampio: scassinare le serrature, sfruttare una serratura dimenticata aperta, o rubare le chiavi del responsabile della sicurezza dell’edificio. Questa vulnerabilità è un ulteriore modo di ottenere maggiore accesso, analoga a lasciare appese fuori dalla porta le chiavi del responsabile della sicurezza. Rubandole, il dipendente può acquisire maggiori privilegi, come per esempio accedere ad ufficio o locali per i quali non è autorizzato.

Lo scenario di attacco descritto dalla EFF è questo: un utente normale (con diritti di accesso giustamente limitati) usa un computer Windows sul quale è stato suonato un CD dotato del sistema anticopia MediaMax. L’utente decide che non gli piacciono le limitazioni imposte dall’amministratore di sistema e decide di fare di testa propria, oppure visita un sito Web o apre un e-mail contenente un virus apposito.

Grazie alla falla Sony bis, l’utente deve semplicemente sostituire il programma mmx.exe installato da MediaMax con un altro programma di suo gradimento, come un giochino o un programma per scaricare film. L’aggressore, invece, può (tramite per esempio una pagina infetta) sostituire mmx.exe con un altro programma ostile, che può per esempio aprire ulteriori falle nel sistema operativo o eseguire funzioni non autorizzate o semplicemente copiare o devastare i dati contenuti nel computer.

La volta successiva che un utente con privilegi di amministratore inserisce nel computer un CD MediaMax, scatta la trappola: al posto di mmx.exe viene eseguito il programma ostile. Questo significa che ogni computer Windows sul quale è stato suonato un disco Sony MediaMax contiene una trappola a tempo, che può scattare anche a distanza di mesi dall’infezione.

Sony ha messo in Rete una prima patch di correzione di questa falla, ma la EFF dice che anche la patch è fallata. Così Sony ha pubblicato una seconda patch, che al momento viene studiata dagli esperti. La raccomandazione della EFF è, almeno per ora, di non installare queste patch.

Sony ha pubblicato un elenco dei dischi infettati da questo sistema anticopia.

A questo punto, la raccomandazione di sicurezza informatica non può che essere una: rifiutate di installare qualsiasi software proposto da CD musicali e non suonate CD anticopia nei vostri computer. Siamo arrivati infatti al paradosso che è più sicura la musica scaricata da Internet che quella confezionata dai discografici.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

[IxT] JPEG assassina per Windows, pronto il kit per la strage. Adesso che si fa?

Questa newsletter vi arriva grazie alle gentili donazioni di “lenor8”, “maurizio” e “rmbianchi”.

Come preannunciato qualche giorno fa, la falla di sicurezza del software Microsoft che permette di infettare un computer semplicemente visualizzando un’immagine in formato JPEG appositamente confezionata (sì, non sto scherzando) non è più una vulnerabilità teorica: ora è un problema concreto.

Infatti sono già in circolazione le prime dimostrazioni e i kit per fabbricare le immagini infettanti. Ecco un’immagine (innocua!) del kit a portata di dilettanti, tratta dal sito della società antivirale F-Secure:
http://www.f-secure.com/weblog/

E qui c’è un pezzo (censurato) di codice dimostrativo:
http://www.k-otik.com/exploits/09222004.ms04-28.sh.php

La spiegazione tecnica di come funziona la falla e di quanto sia paurosamente semplice sfruttarla è qui.

Per gli utenti Windows, il problema a questo punto è cosa fare, visto che l’ondata di piena è sicuramente in arrivo e a breve troveremo la Rete infestata di siti ed e-mail contenenti immagini JPEG che infettano o fanno impallare Windows. È prevedibile che nelle prossime settimane assisteremo alla solita litania di blocchi di sistemi informatici pubblici basati su Windows (Bancomat, Poste, banche, prenotazioni mediche, check-in aeroportuali, eccetera): tenetene conto nelle vostre attività, magari tenendo in tasca qualche euro in più per le emergenze.

È una raccomandazione che faccio anche agli utenti Mac e Linux, anche se non sono affetti direttamente da questa falla: lo saranno lo stesso indirettamente in caso di collasso dei PC Windows usati da colleghi, clienti, fornitori e servizi pubblici.

Le istruzioni fornite da Microsoft sono incasinatissime:
http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx

In sintesi, potete usare Windows Update per eliminare la falla da Windows XP: si può fare anche senza installare il contestatissimo Service Pack 2, usando l’aggiornamento KB833987 disponibile nella pagina Microsoft indicata sopra.

Ma può non bastare: se avete Microsoft Office, potreste essere comunque a rischio. Anche alcune versioni di Microsoft Office, infatti, contengono una versione vulnerabile del componente che gestisce le immagini JPEG (gdiplus.dll). Per cui dovete usare anche Office Update.

Non è finita. A prescindere dalla versione di Windows che usate, se avete installato alcune versioni di programmi come Project, Visio, Visual Studio .NET, Visual C#, Picture It, Digital Image Pro e altri (tutta roba Microsoft, per la serie “un nome, una garanzia”), potreste essere comunque vulnerabili a prescindere da patch e contropatch. Se usate uno dei programmi indicati da Microsoft (la lista completa è sempre nella pagina Microsoft citata sopra), dovete aggiornarlo con una versione non vulnerabile.

Una versione semplificata della procedura è descritta in inglese qui e in italiano qui.

La procedura semplificata include una funzione che controlla la presenza di programmi vulnerabili nel vostro PC. Fate però attenzione: questo controllo non dice se avete una versione sicura o no dei vari programmi, ma si limita a ricordarvi che avete nel computer uno dei programmi potenzialmente vulnerabili.

Può anche darsi che i prossimi aggiornamenti degli antivirus riescano a gestire alcuni dei canali attraverso i quali possono arrivare immagini infette (gli allegati agli e-mail, per esempio). Staremo a vedere: resta valido il consiglio di tenere costantemente aggiornato l’antivirus e di diffidare di ogni allegato di qualsiasi provenienza.

Se tutto questo vi manda in bestia, vi capisco perfettamente. È proprio per falle come queste che da tempo consiglio (e non sono certo il solo) di passare a soluzioni alternative. Una recente falla vagamente analoga per il formato grafico PNG si risolse con una mini-patch assolutamente indolore per Linux e per Mac. Con Windows non si sa neppure da che parte cominciare a rattoppare.

Certo migrare a Linux o Mac costa fatica, ma quanto vi costerà restare con Windows dopo questa falla? E cosa farete quando arriverà la prossima? Pensateci. Io l’ho fatto, e ora vi scrivo tranquillo dal mio Mac.

Non voglio sembrare allarmista, ma questa è obiettivamente una delle falle più pericolose da anni a questa parte, perché riguarda un formato, il JPEG, che tutti ritenevano impossibile usare come veicolo d’infezione, e soprattutto riguarda un elemento assolutamente essenziale di Internet come le immagini. Ma quando una cosa sembra impossibile, ci pensa mamma Microsoft a renderla possibile. E poi dicono che zio Bill non sa innovare!

Di conseguenza, non state lì ad aspettare: fate qualcosa. Qualsiasi cosa. Installate le patch (dopo un backup o almeno un punto di ripristino, mi raccomando), fatevi aiutare da un amico esperto, tempestate di telefonate l’assistenza Microsoft o quella del vostro rivenditore (a seconda delle condizioni indicate nella vostra licenza di Windows), buttate via il computer, comprate un Mac, installate Linux, ma non statevene con le mani in mano. Ogni computer che rimane vulnerabile è un computer in più che può diffondere l’infezione.

Proteggersi, fra l’altro, è una questione di responsabilità sociale, perché se non vi proteggete, danneggerete non soltanto voi stessi, ma anche altri utenti.

Siete nella posizione tutto sommato vantaggiosa di sapere che il pericolo sta arrivando e avete tempo per porvi rimedio. Aspettare e sperare che le cose si sistemino da sole sarebbe incosciente.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

[IxT] Sicurezza: immagini JPEG, mega-falla per Windows

Questa newsletter vi arriva grazie alle gentili donazioni di “a.passi”, “luigi.ponzi***” e “samuele”.

Adesso non ci si può fidare più neppure delle immagini. Infatti può essere sufficiente visualizzare un’immagine nel popolarissimo formato JPEG per infettare un computer Windows. Questo nuovo traguardo del progresso informatico è stato annunciato da Microsoft ieri (14/9/2004). I dettagli tecnici sono disponibili qui e in forma ancora più tecnica qui.
Ulteriori informazioni, appena disponibili, saranno catalogate qui.

Microsoft consiglia ai propri utenti Windows XP di aggiornare subito il proprio software con Windows Update. Sono a rischio anche gli utenti di varie versioni di Microsoft Office, per i quali c’è un apposito aggiornamento.

Non sono a rischio, secondo Microsoft, gli utenti di Windows NT, 98, 98SE, ME, 2000 e chi ha Windows XP ed è già riuscito ad installare il Service Pack 2. Un elenco delle versioni di Windows e dei numerosi programmi vulnerabili è fornita da Microsoft, insieme ai link per l’aggiornamento, presso il secondo dei link citati sopra.

La vulnerabilità è considerata “critica” da Microsoft, dato che rende appunto sufficiente la visualizzazione di un’immagine (per esempio in Internet Explorer o in Outlook o in un documento Office) per permettere all’aggressore di fare quel che gli pare al PC del bersaglio.

Giusto per chiarire oltre ogni dubbio: per infettarsi, a un utente Windows basta visitare un sito Web contenente un’immagine appositamente confezionata, oppure ricevere l’immagine in un e-mail o via chat e aprirla/visualizzarla. È una falla grave.

Al momento non mi risultano disponibili dimostrazioni pubbliche del funzionamento di questa vulnerabilità.

È dunque il caso di smettere di scaricare immagini? Dobbiamo metterci a tremare ogni volta che ci arriva una foto da un amico o sfogliamo una pagina Web? Per adesso no, ma nei prossimi giorni sì.

La ragione è semplice: ora che la falla è stata annunciata, gli aggressori (sia quelli che agiscono per puro vandalismo, sia quelli che agiscono con fini di lucro, come spammer e pornovendoli) si daranno da fare per scoprire il funzionamento della falla e sfruttarla (alcuni probablmente l’hanno già fatto). È quindi assolutamente indispensabile scaricare e installare gli aggiornamenti di sicurezza predisposti da Microsoft.

Gli utenti Mac e Linux al momento non risultano affetti da questo problema, che ricorda (in peggio) il recente allarme che li aveva colpiti per l’immagine ammazzabrowser, quella in formato PNG, già descritta in questa newsletter. Mentre nel caso della falla Mac e Linux il risultato era il collasso del browser, senza possibilità di infezione e senza danni permanenti al sistema operativo, nel caso di questa falla di Windows l’immagine non si limita ad ammazzare il browser, ma consente di infettare permanentemente il sistema operativo.

Per il vostro bene e per quello della Rete, insomma, se usate Windows, aggiornatelo. Aggiornatelo SUBITO.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.