Vai al contenuto

Falla “shell:” anche in Word e Messenger

Altre vitime della falla “shell:”

La stessa falla “shell:” interesserebbe anche Word e Messenger, secondo Secunia (fonte):

Microsoft’s MSN Messenger and Word word processing application both support a feature that could give remote users access to functions that could be used launch applications on Windows computers, according to an alert from Secunia, which tracks software vulnerabilities.

… The applications both fail to restrict access to the “shell:” URI (Universal Resource Identifier), a feature that allows Windows users or software applications to launch programs associated with specific file extensions such as doc (associated with Word) or txt (associated with Notepad, the Windows text editing program), said Secunia, of Copenhagen.

Malicious hackers could launch programs associated with specific extensions using links embedded in Word documents or instant messages sent using MSN. However, the vulnerability does not allow attackers to pass instructions to the programs, which would allow more sophisticated attacks, Secunia said.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

[IxT] Altre falle di Internet Explorer; chiarimenti su falle nei browser

Questa newsletter vi arriva grazie alle gentili donazioni di “silvio.bacch***”, “fiorentino” e “pietro.pall***”.

Secunia riferisce di altre quattro falle in Internet Explorer.

La prima consente a un sito ostile di aggirare le normali limitazioni di sicurezza di IE e quindi eseguire istruzioni (script) ostili come se provenissero da un altro sito ritenuto sicuro.

La seconda consente a un sito ostile di ingannare gli utenti, facendoli cliccare su un oggetto, oppure trascinarlo, senza esserne consapevoli, per esempio aggiungendo dei link pericolosi o compromettenti ai Preferiti.

La terza consente di far eseguire script ostili nei link dei Preferiti. La quarta, infine, permette di alterare a piacimento l’aspetto delle finestre dell’applicazione o delle finestre di dialogo, creando schermate ingannevoli che inducono gli utenti ad aprire inconsapevolmente file pericolosi o a compiere altre operazioni a rischio.

Le soluzioni, secondo Secunia, sono due:

  • disabilitare l’Active Scripting
  • usare un altro prodotto

Queste falle hanno effetto su Internet Explorer 5.01, Internet Explorer 5.5 e Internet Explorer 6 con tutti gli aggiornamenti di sicurezza sinora forniti.

Secunia ha al momento questa classifica di segnalazioni di falle:

La presenza di Internet Explorer al primo posto sotto Windows e all’ultimo sotto Mac sembra confermare una delle critiche più frequenti al browser Microsoft, ossia che la sua vulnerabilità deriva dalla scelta di integrarlo strettamente nel sistema operativo.

Già che sono in tema di sicurezza, charisco un punto della precedente newsletter del 10/7 riguardante altre falle per Opera, Mozilla, Firefox, Safari e altri prodotti non-Microsoft.

In quella newsletter ho descritto due  falle distinte, ma non le ho separate abbastanza chiaramente. Una è la falla “shell:”, l’altra è quella annunciata da Secunia.

Stando alle informazioni pubblicate da Secunia e da Mozillaitalia.org, oltanto le ultimissime versioni disponibili di Opera, Mozilla, Firefox e Thunderbird risolvono entrambe le falle.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

[IxT] Falle anche per Mozilla, Firefox, Safari, Thunderbird, Opera

Questa newsletter vi arriva grazie alla gentile donazione di “enzoeffe”.

Ci sono guai anche per i browser non-Microsoft; spero di preparare un test del Browser Challenge anche per queste magagne, ma nel frattempo mi premeva avvisarvi al più presto, in modo che possiate adottare i rimedi del caso. Infatti, a differenza del problema descritto ieri a proposito del browser Microsoft, le correzioni degli altri browser sono già pronte.

Le versioni Windows di Mozilla, Firefox e Thunderbird sono vulnerabili a una falla che consente accesso ai file dell’utente:
http://www.mozilla.org/security/shell.html

La falla è stata segnalata il 7 luglio e la correzione è disponibile dall’8 luglio sul sito www.mozilla.org all’indirizzo indicato sopra. Trovate anche istruzioni in italiano qui.

Il rimedio più semplice è scaricare e installare le nuove versioni di questi browser e client di posta. In alternativa, potete usare ShellBlock, un miniprogramma che corregge il problema senza dover installare le versioni aggiornate dei programmi vulnerabili:
http://update.mozilla.org/extensions/moreinfo.php?id=154

La falla non riguarda gli utenti Linux e Mac di questi browser, dato che è legata a una particolare funzione di Windows.

Inoltre Secunia ha pubblicato un’altra falla che consente a un sito ostile di far comparire il proprio contenuto all’interno di quello di un sito regolare, consentendo per esempio furti di password o di numeri di carte di credito, se si visitano contemporaneamente siti fidati che richiedono questi dati e siti non fidati.

La descrizione della falla, che colpisce numerosi browser, compreso IE per Mac, Konqueror, Mozilla, Firefox, Safari e Opera, è disponibile insieme a un simpatico test qui.

Per gli utenti Opera, Firefox e Mozilla, la falla è risolta scaricando le versioni aggiornate, rispettivamente la 7.52, 0.9 e 1.7.

La falla risale, secondo Secunia, a sei anni fa.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

[IxT] Internet Explorer crasha con una riga di codice

È stata pubblicata da poco una curiosa falla di Internet Explorer che lo fa andare in crash usando semplicemente una riga di codice.
Imbarazzante.

Ho colto il suggerimento di un lettore, “nicgarga”, e ho preparato una paginetta di test:
http://www.attivissimo.net/security/bc/test11.htm

Dilettatevi a collaudare i vari browser: secondo le mie prove, sono immuni Firefox 0.9.1 per Windows, Opera 7.52 per Windows e Mac, e Mozilla 1.6 per Windows.

Safari 1.2.2 per Mac e Internet Explorer 5.2 per Mac resistono ma non si comportano correttamente (non visualizzano la pagina di fine test).

Il test che ho preparato è innocuo: il suo unico effetto è mandare in crash il browser. Questa falla non consente intrusioni.

Buon divertimento!

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

[IxT] Pronta la pezza contro Download.Ject

Microsoft ha preparato l’aggiornamento di Windows XP che rimedia almeno in parte alla falla evidenziata dal recente attacco di Download.ject, che aveva infettato molti siti commerciali e che consentiva all’aggressore di infettare chiunque visitasse i siti infetti usando Internet Explorer.

L’aggiornamento è disponibile tramite Windows Update. Usate questa funzione, ma rimane il consiglio di sempre: non usate Internet Explorer; usate invece un altro programma browser analogo (Opera, Mozilla, Firefox, Netscape).

Se il sito che volete visitare funziona solo con Internet Explorer, chiedetevi se è davvero indispensabile visitarlo; se lo è, usate
Internet Explorer soltanto con quel sito e a vostro rischio e pericolo. Per tutto il resto, usate altri browser.

L’attacco di Download.Ject ha avuto effetto soltanto sui siti Web che usano Microsoft Internet Information Server. I siti che usano altri tipi di software non-Microsoft (per esempio Apache) ne sono immuni. Se gestite un sito Web usando Internet Information Server, leggete le apposite istruzioni per aggiornare il vostro software con la relativa correzione, disponibile da tempo.

Le informazioni Microsoft in italiano per gli utenti di Windows XP e per i gestori di siti Web basati su softare Microsoft sono qui.

Fra l’altro, l’attacco di Download.Ject era coordinato tramite un sito localizzato in Russia, che è stato disattivato: praticamente, visitando un sito infetto, la vittima veniva dirottata al sito russo, che iniettava il virus. Questo non deve indurre ad abbassare la guardia.

Il rimedio di Microsoft sembra essere molto specifico per questo attacco e non risolve i problemi di fondo di Internet Explorer, stando a The Register:
http://www.theregister.co.uk/2004/07/02/ie_vuln_workaround/

La falla di Internet Explorer è risultata abbastanza grave da suscitare un suggerimento senza precedenti dell’autorevolissimo ente di sicurezza CERT, che ha consigliato di “ridurre l’esposizione a queste vulnerabilità [di IE] usando un altro browser, specialmente nel visitare siti non fidati”:
http://www.kb.cert.org/vuls/id/713878

Secondo la rivista Wired, la preoccupazione per questa falla e l’avviso del CERT hanno convinto un numero insolitamente alto di utenti a scaricare browser alternativi: gli scaricamenti di Mozilla e Firefox (immuni a questa falla e a molte altre) sono raddoppiati, arrivando a 200.000 in un solo giorno.

A furia di prendere bastonate, qualcuno sta imparando la lezione. Peccato che si debba arrivare a tanto.

Ciao da Paolo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Firefox, falle da turare

Falle in Firefox 1.5 e 2.0, la pezza è pronta

Questo articolo vi arriva grazie alle gentili donazioni di “pilli48” e “giuseppe”.

Secunia segnala una serie di falle di Firefox che vanno turate subito in quanto definite “altamente critiche”. Sono colpite sia la versione vecchia, la 1.5, alla quale sono rimasti fedeli molti utenti, sia la più recente versione 2.0. Chi per il momento non può aggiornare Firefox farebbe bene a disabilitare Javascript.

Una delle falle riguarda Javascript, e l’utente si trova esposto a rischi di intrusione, furto di file ed esecuzione di programmi indesiderati, scelti dall’aggressore, in caso di visita a siti-trappola o di visualizzazione di un e-mail ostile in formato HTML.

Gli aggiornamenti per Firefox sono già disponibili: riceverete un avviso automatico che vi invita a scaricarli e installarli. Accettate l’avviso e riavviate Firefox per attivarli e navigare più tranquilli.

Sempre secondo Secunia, anche Internet Explorer 7 ha dei problemi con la stessa vulnerabilità, ma in misura “meno critica”.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Falla Mac OS X, basta un’immagine per bucarlo

Serie di falle gravi in Mac OS X, aggiornate subito

La newsletter @Risk di Qualys segnala una serie di falle critiche in Mac OS X: basta un’immagine, un file DMG o TAR o un photocast di iPhoto appositamente confezionato per ottenere la “completa compromissione dei sistemi degli utenti”. Decisamente imbarazzante.

Apple ha pronti gli aggiornamenti di sicurezza, che è ovviamente consigliabilissimo installare senza indugio. Gli avvisi di sicurezza diramati da Apple sono qui: uno, due e tre.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

I cursori animati minacciano persino Vista

Patch d’emergenza per Windows: i cursori animati lo mandano in tilt

Questo articolo vi arriva grazie alle gentili donazioni di “franco.bo****” e “happy.moto****”. L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Microsoft ha pubblicato un avviso di sicurezza riguardante una falla importante in Windows XP e, in misura minore, anche in Windows Vista. La pezza apposita dovrebbe uscire oggi, secondo ZDNet, a testimonianza della gravità del problema (di solito Microsoft rilascia gli aggiornamenti di sicurezza una sola volta al mese, in blocco).

La falla consente a un cursore animato (file .ANI), annidabile in un e-mail o in una pagina Web visitata con Internet Explorer 6 o 7, di causare un buffer overflow sfruttabile dai vandali della Rete per infettare i computer e usarli per ulteriori attacchi virali o campagne di spam. La falla viene già sfruttata da almeno un worm e da alcuni spammer e si diffonde anche tramite chiavette USB e altri supporti, come riferiscono F-Secure e McAfee.

Aggiornamento (4/4/2007): Zdnet segnala che anche Firefox è vulnerabile a questa falla se usato sotto Windows (anche Windows Vista); non disponendo del Protected Mode di IE, Firefox consente un accesso ai dati dell’utente più esteso rispetto a IE in Protected Mode sotto Vista (con IE, l’intruso può “soltanto” leggere i dati dell’utente; con Firefox può anche modificarli). Sul sito di Determina.com trovate un’animazione (non un cursore animato!) che dimostra IE e Firefox su Vista alle prese con questa falla. Va notato che per Firefox si tratta di un proof of concept, ossia di codice dimostrativo, attualmente non circolante in Rete, ma è comunque una dimostrazione eloquente: come spiega l’animazione, Firefox si appoggia a Windows per la gestione dei cursori animati.

Il blog di McAfee presenta inoltre un video molto eloquente di Vista alle prese con un cursore animato ostile: il crash e riavvio, nota McAfee, non è quello che avviene negli attuali attacchi via Web, ma è comunque una dimostrazione chiara della vulnerabilità. Trend Micro descrive la falla qui.

Microsoft, secondo quanto riferito dal SANS Internet Storm Center, dice che gli utenti di IE7 con il Protected Mode sono protetti, e che gli antivirus aggiornati sono in grado di rilevare la minaccia. Gli utenti di Outlook 2007 sono protetti, come lo sono quelli di Windows Mail su Vista se non inoltrano l’e-mail infetto, mentre gli utenti di Outlook Express restano vulnerabili persino quando leggono la posta in formato “testo semplice”.

La raccomandazione, come al solito, è evitare di navigare con Internet Explorer, bersaglio preferito dei vandali, e sostituirlo con Opera, Firefox* o Mozilla.

*Aggiornamento (4/4/2007): Firefox resiste alla falla circolante, ma è vulnerabile (sotto Windows) al codice dimostrativo di Determina.com citato sopra, che usa i cursori animati come vettore d’infezione.

La falla è uno smacco per Microsoft, che ha puntato molto sulla sicurezza come motivo d’acquisto di Vista; vedere che anche Vista è così facilmente bucabile potrebbe indurre a qualche ripensamento, soprattutto all’altezza del portafogli.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
ASUS infettata dal cursore animato

ASUS infettata dal cursore animato

Il sito taiwanese di Asus infettato dal virus del cursore animato

Questo articolo vi arriva grazie alle gentili donazioni di “ninosoft” e “tania.fur****”.

La società antivirale Kaspersky conferma che il sito del notissimo produttore di hardware Asus è stato infettato da un virus che sfrutta la falla del cursore animato in Windows. Le pagine infette sono al momento disattivate. Alcuni dettagli dell’infezione di Asus sono pubblicati da Dynamoo, e a quanto pare non è la prima volta che Asus si fa beccare con le mutande calate.

Le ragioni per cui Microsoft ha rattoppato la falla con così tanta fretta sono ora ancora più evidenti: gli utenti possono infettarsi anche visitando siti rispettabili. Quindi scaricate e installate senza indugio l’aggiornamento di sicurezza, anche se in alcuni casi (segnalati nei commenti al mio articolo precedente sulla falla) l’aggiornamento stesso può causare problemi. La falla non si presenta nei sistemi operativi diversi da Windows.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Firefox, 8 milioni di download col buco

Firefox, 8 milioni di download col buco

Download Day per Firefox, con chicche nascoste e falle

L’iniziativa di Mozilla per promuovere il browser alternativo Firefox nella sua nuova versione, la numero 3, con uno scaricamento collettivo da record il 17 giugno scorso, ha avuto un discreto successo, con 8,3 milioni di download nell’arco delle 24 ore. Secondo la pagina ufficiale del tentativo, il record è ancora in attesa di omologazione; nel frattempo il contatore degli scaricamenti va avanti ed è ormai a quota 18 milioni e passa.

Il tentativo ha avuto i suoi alti e bassi, come descritto nella mia disavventura personale e dalla BBC: i server sono risultati inizialmente sovraccarichi a causa dei 9000 download al minuto che si sono trovati a gestire e scaricare Firefox 3 è stata un’impresa. La festa è stata guastata anche dall’annuncio di una falla in Firefox 3 e nelle versioni precedenti che si può attivare visitando un sito infetto oppure cliccando su un link in un e-mail. Per ora non sono stati resi noti altri dettagli, in attesa che Mozilla pubblichi la correzione di questa falla.

Nel frattempo, godetevi alcune chicche nascoste in Firefox: digitate about:robots nella barra degli indirizzi e guardate quante allusioni alla fantascienza riuscite a riconoscere. Non dimenticate di guardare anche il codice sorgente della pagina che compare. Poi date un’occhiata a cosa succede digitando about:config.

2008/07/15

Ecco le chicche spiegate:

  • Il “Please do not press this button again” che compare cliccando su “Try again” è tratto dalla Guida Galattica per Autostoppisti di Douglas Adams.
  • “And they have a plan” è tratto dalla nuova serie Battlestar Galactica.
  • “Gort! Klaatu barada nikto” è tratto da Ultimatum alla Terra.
  • I “posteriori metallici lucidi” sono un’allusione alla battuta di Bender in Futurama.
  • “Welcome Humans!” è da La Fuga di Logan.
  • La prima frase è una citazione delle Tre Leggi della Robotica di Asimov.
  • “Robots have seen things you people wouldn’t believe” è un riferimento alla celeberrima frase “Ho visto cose che voi umani…” di Blade Runner.
  • “Robots are Your Plastic Pal Who’s Fun To Be With” è la descrizione dei robot fornita dalla Sirius Cybernetics Corporation nella già citata Guida Galattica.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.