Vulnerabilità nella toolbar Wikipedia per Firefox

Il security provider Secunia ha individuato nei giorni scorsi una vulnerabilità piuttosto critica nell’estensione Wikipedia Toolbar per Firefox, che può essere usata da un potenziale attaccante per compromettere il sistema dell’utente vittima.

Il problema è stato individuato nella mancata validazione dell’input da parte dell’applicazione in una chiamata alla funzione eval(): ciò può consentire l’eventuale esecuzione di codice Javascript arbitrario.

Una volta lanciato il codice viene eseguito con i privilegi di sistema e questo consente l’accesso alle risorse della macchina bersaglio. Affinché l’attacco avvenga con successo è necessario che l’utente visiti una pagina web “contraffatta” e che sia “ingannato” e portato a cliccare su determinati pulsanti della toolbar.

Secunia ha individuato il bug nella versione 0.5.9, ma potenzialmente altre versioni potrebbero essere affette dal problema.
L’ultima versione rilasciata ovvero la 0.5.9.2 risolve il problema ma non è ancora stabile, ma taggata come “experimental“.

Mega Patch-Tuesday ad ottobre per Microsoft

Nel prossimo Patch Tuesday del 13 ottobre, Microsoft si appresta a pubblicare 13 bullettin che coprono ben 34 vulnerabilità di sicurezza riguardanti molti prodotti.
Ben otto dei tredici bullettin sono stati classificati come “critical”, il livello più alto di rischio attribuito da Microsoft.

L’importanza di questo Patch Tuesday sta nelle correzioni di due bug molto seri riguardanti un bug in SMBv2 e un altro nella funzionalità FTP di IIS.
I prodotti interessati dagli aggiornamenti sono Microsoft Windows, Internet Explorer, Microsoft Office, Silverlight, Microsoft Forefront, Developer Tools, e SQL Server.

Ancora nessuna novità riguardo il pericoloso bug nelle CryptoAPI che lascia il “fianco scoperto” ad attacchi al protocollo SSL, compromettendo la sicurezza di browser e altri software che su di esse si appoggiano.

Avira AntiVir problemi di aggiornamento

Un aggiornamento di grosse dimensioni per gli utenti dei prodotti anti-virus Avira AntiVir ha causato problemi agli utenti della versione free Avira Antivir Personal.
Tentando di scaricare gli aggiornamenti delle ultime firme hanno riscontrato comportamenti anomali tra cui l’errata risposta da parte del programma che indicava che nessun update era disponibile.
Il problema è stato causato da un sovraccarico dei server Avira.

Dirk Knop, technical editor Avira, ha dichiarato che gli utenti dei prodotti Avira AntiVir Premium, Avira Premium Security Suite e Professional non hanno riscontrato alcun inconveniente visto che per le versioni a pagamento sono previsti server e banda dedicati.
I problemi (riscontrati ieri) sembrano al momento risolti e anche gli utenti della versione free dovrebbero essere in grado di aggiornare correttamente.
L’azienda ha dichiarato che nel giro di due settimane renderanno disponibile un sistema più performante in grado di far fronte alle elevate richieste di update quotidiane da parte delle versioni free.

Aggiornamento di sicurezza per Google Chrome 3

Google ha rilasciato un update di sicurezza per la versione 3 di Chrome. La nuova versione del browser WebKit-based è la 3.0.195.24.
Il bug corretto riguarda l’implementazione della funzione dtoa() utilizzata dal motore JavaScript V8 di Chrome per parsare le stringhe in numeri floating point.

La vulnerabilità contenuta nella Chrome sandbox può essere sfruttata da un ipotetico attaccante per eseguire codice arbitrario.
Affinchè l’attacco avvenga con successo è sufficiente che l’utente visita una pagina web appositamente modificata.
Per effettuare l’aggiornamento gli utenti possono utilizzare la funzionalità built-in di update accedendovi dai menu “Tools->About Google Chrome” e cliccando sul pulsante “Update”

Fonte: Google closes vulnerability in Chrome 3

Adobe e Oracle ritardano i loro patch days

Sia Adobe che Oracle hanno confermato il ritardo per i rispettivi patch days pianificati in ottobre.
Per Oracle la scelta è legata alla conferenza “OpenWorld 2009 Oracle” che si svolgerà tra l’11 e il 15 ottobre e che tipicamente attrae un gran numero di utilizzatori, amministratori e sviluppatori Oracle.
Questo onde evitare che gli interessati (in particolar modo gli amministratori) si trovino a scegliere tra aggiornare i sistemi e seguire i talk.
La data schedulata per il Critical Patch Update (CPU) trimestrale slitterà dal 13 al 20 ottobre.
I CPUs successivi sono invece previsti regolarmente per il 12 gennaio 2010, 13 aprile 2010 e 13 luglio 2010.

Adobe ha annunciato che la data prevista per i prossimi aggiornamenti per Adobe Acrobat e Reader sono previsti per il 13 ottobre.
Il vendor ha chiamato in causa le vulnerabilità scoperte di recente nella Microsoft Active Template Library (ATL), che affliggono numero prodotti.
Tutto ciò comporterà appunto un ritardo nel ciclo di patch trimestrale introdotto in primavera, visto che il fix su questi bug ha la priorità su quelli scoperti internamente.

RIFERIMENTI:
Adobe and Oracle delay their patch days, by Heise Security

Apple patcha il bug degli SMS di iPhone

All’inizio di questo mese avevamo posto l’attenzione su una scoperta fatta da Charlie Miller riguardante l’errato parsing degli SMS da parte dell’iPhone.
Ulteriori dettagli sono stati rilasciati nell’arco della conferenza BlackHat tenutasi a Las Vegas nei giorni scorsi, evidenziando come non solo iPhone ma anche Android e Windows Mobile siano in pericolo.

Per quanto riguarda iPhone, Apple ha rilasciato nella giornata di venerdì 31 luglio la versione aggiornata del firmware, la 3.0.1.
Tutti i dettagli in questa pagina relativa al security update.

Attaccato il server del progetto CentOS

Sfruttando un errore di configurazione del CMS Xoops, anonimi crackers hanno ottenuto accesso al server web principale del progetto CentOS.
Stando a Ralph Angenendt, sysadmin di CentOS, non sono stati rubati o manomessi dati/informazioni.
Il server a quanto pare non è stato usato neanche per operazioni di spamming.
In ogni caso come misura di sicurezza, tutti gli utenti registrati dovranno reimpostare una nuova password attraverso il sistema di recupero password di Xoops.

Nonostante siano installati sulla stessa macchina il wiki e il sistema di bug tracking non sono stati manomessi.
L’attacco è stato inizialmente scoperto venerdi’ 3 luglio quando gli amministratori si sono imbattuti in alcuni file sospetti sul server.

FONTE: Attack on CentOS project server by Heise Security

ColdFusion nel mirino dei crackers

A quanto pare in questi ultimi giorni si stanno registrando ondate di attacchi che prendono di mira web applications scritte con ColdFusion (CFML).
I ricercatori del SANS hanno ricevuto infatti notifiche di intrusioni che riguardano l’exploiting di vulnerabilità presenti in vecchie versioni di ColdFusion.
In particolare il problema interessa due componenti delle applicazioni ColdFusion: l’editor di testo FCKEditor e il filemanager CKFinder. Una volta compromessa l’applicazione, gli attaccanti hanno pieno controllo sulla macchina server.
Bojan Zdrnja, ricercatore presso il SANS, fa sapere che le pagine web compromesse tipicamente riportano all’interno del codice html tag <script> che fanno puntare a siti web contenenti ogni sorta di malware, pronto per essere scaricato/installato al fine di sfruttare eventuali vulnerabilità sulle macchine degli utenti.

Il consiglio è quindi quello di verificare le installazioni ColdFusion esistenti ed eventualmente patchare i sistemi. Gli amministratori dovrebbero anche controllare l’eventuale presenza di applicazioni ColdFusion “vecchie” e mai disinstallate: anche queste potrebbero essere un potenziale target degli attacchi.

Pericolo iPhone: crash o exploit?

Charlie Miller, security researcher presso Independent Security Evaluators, ha dimostrato che sfruttando un bug nella modalità di parsing SMS dell’iPhone è possibile disconnettere il dispositivo dal network dell’operatore.
Miller è ancora alla ricerca di una maniera per sfruttare la vulnerabilità per eseguire codice remoto.
Laddove l’exploit risultasse praticabile si aprirebbero scenari abbastanza preoccupanti: iPhone zombie che possono essere monitorati/localizzati (sfruttando il gps integrato) o usati come “microspie” grazie al microfono integrato.

La scoperta è stata presentata alla conferenza SyScan a Singapore nella giornata di ieri e ulteriori dettagli verranno rilasciati in occasione del Black Hat in programma a Las Vegas verso la fine di questo mese.
Fondamentale nella scoperta del bug anche Colin Mulliner.

APPROFONDIMENTI:
iPhone crashing bug could lead to serious exploit, by The Register

Aggiornamenti di sicurezza per Samba

Gli sviluppatori di Samba hanno rilasciato le versioni 3.0.35, 3.2.13 e 3.3.6 per risolvere i problemi legati a due vulnerabilità, una nel smbclient e l’altra nel server
Il tool smbclient soffre di una vulnerabilità di tipo “format string attack” che può essere sfruttata usando il comando put e nomi di file malevoli.
Nelle versioni Samba 3.0.31 e 3.3.5 è possibile eseguire codice arbitrario in certi casi.
La vulnerabilità che riguarda il server interessa invece le versioni 3.2.0 e 3.2.12 di smbd: questa consente di cambiare a piacimento i permessi di un file scrivibile.
Il problema è dovuto ad una mancata inizializzazione di alcuni dati applicativi.
In aggiunta alle nuove versioni, disponibili anche le relative patch.

RIFERIMENTI:
* Security updates for Samba, by Heise Security
* Formatstring vulnerability in smbclient, Samba advisory.
* Uninitialized read of a data value, Samba advisory.