Chiuso pericoloso bug in Apple TV

Oltre ad aggiungere il supporto per YouTube, la versione 1.1 di Apple TV chiude una falla piuttosto pericolosa. La vulnerabilità consentiva di effettuare code-injection e eseguire codice remoto sul device.
Il problema è causato da un bug nell’implementazione Apple dell’Internet Gateway Device Standardized Device Control Protocol, utilizzato dal dispositivo per segnalare, tra le altre cose, al router via UPnP quali porte aprire.
Sembra si verifichi un buffer overflow durante il processing di determinate pacchetti UPnP: questo consente di scrivere codice nello stack dell’applicazione e eseguirlo.
Stando all’advisory sembra la falla possa essere sfruttata da remoto: non è ancora chiaro però se quel “remoto” significhi dalla LAN interna oppure proprio da Internet.
Questo perchè tipicamente i pacchetti UPnP non vengono instradati attraverso Internet.
I problemi con il protocollo UPnP non sono di certo recenti: molto spesso sono stati riscontrati problemi nel supporto fornito dagli stessi router/firewall visto che non di rado capitava che venissero usati come relay o proxies in maniera “malevole”.
L’update viene installato in maniera automatica, anche se c’è da ricordare che il meccanismo di software update dell’Apple Tv è programmato per attivarsi una volta alla settimana. L’utente può tuttavia procedere all’aggiornamento in maniera manuale.

LINK:
About the security content of Apple TV 1.1, Apple’s security advisory

Possibile attacco DoS contro un driver Kaspersky

I vari prodotti di sicurezza della nota casa Kaspersky lavorano a stretto contatto col sistema operativo, impiegando un driver che tra le altre cose monitora anche le chiamate di sistema di Windows. Il controllo sul passaggio di parametri effettuato dal driver non sembra essere però corretto: ciò apre la porta a possibile attacchi che sfruttando dati non validi portano al crash del sistema.
Il security provider MatouSec, che ha segnalato il bug, lascia intendere che questa falla potrebbe essere ben più pericolosa di quanto sembri, alludendo a potenziali attacchi di tipo “code injection and execution“.

I prodotti di sicurezza molto spesso si “agganciano” alle funzioni di sistema con lo scopo di monitorare lo stato di funzionamento ed esecuzione di una macchina.
Mediante chiamate alla System Service Descriptor Table (SSDT) è possibile determinare quali programmi sono attivi sul computer e cosa stanno facendo: è possibile quindi prendere decisioni appropriate e interrompere per esempio l’esecuzione di un programma che abbia un comportamento “potenzialmente malevole”. Un’altra funzionalità importante è che questo consente di evitare che potenziale malware tenti di intaccare il comportamento dei software di sicurezza stessi.

Il driver klif.sys si aggancia a svariate syscalls tra cui NtCreateKey, NtCreateProcess, NtCreateProcessEx, NtCreateSection, NtCreateSymbolicLinkObject, NtCreateThread, NtLoadKey2, NtOpenKey e NtOpenProcess.
Se un programma effettua una chiamata ad una di queste funzioni con parametri non validi, il computer crasha e riparte.

Un interessante post su RootKit.com di EP_XoFF spiega questa vulnerabilità (presumibilmente piuttosto datata) usando la funzione NtOpenProcess.
Kaspersky ha reagito alle segnalazioni postando il proprio advisory di sicurezza e annunciando una patch che la compagnia distribuirà a breve tramite il sistema di automatic update.
Kaspersky ha classificato la minaccia come “low”, poichè richiede che un utente locale esegua il software malevole.
Stando all’advisory, la vulnerabilità non consentirebbe l’escalation di privilegi o l’esecuzione di codice esterno.
Le versioni interessate dal problema sembrano essere: Kaspersky Antivirus 6 e 7, Internet Security 6 e 7, Anti-Virus for Windows Workstations 6 e Anti-Virus 6 for Windows Servers, per sistemi operativi da Windows NT a Windows 2003. Sotto Windows Vista sembra che il famigerato crash di sistema non si verifichi.

Questo annunci conferma la crescente tendenza nella scoperta di bug che interessano software dedicati alla sicurezza. I bug scoperti negli antivirus di F-Secure, Grisoft e Avira (tra gli altri) sono legati a problemi di buffer overflows e format string vulnerabilities.
Questi fenomeni per la maggior parte sono da imputare il più delle volte ad una carenza per i dettagli durante la fase di programmazione.
Questo trend non lascia di certo ben sperare, è quindi auspicabile che ci sia un cambiamento di rotta, in virtù del fatto che software come personal firewall e antivirus sono la prima linea di difesa contro la diffusione su larga scala di malware e virus di ogni tipo.

LINKS:

  • Kaspersky Multiple insufficient argument validation of hooked SSDT function Vulnerability, advisory di MatouSec
  • Exploiting Kaspersky Antivirus 6.0-7.0, bug report di EP_X0FF
  • KLV07-07.Klif.sys calling NtOpenProcess vulnerability, security advisory di Kaspersky
  • Fixate tre vulnerabilità del kernel Linux

    L’ultima versione del Kernel Linux, la 2.6.21.4, ripara tre vulnerabilità. La dereferenziazione di un null pointer in netfilter può comportare il crash del kernel in fase di processing di alcune connessioni. Questo bug può essere sfruttato in maniera remota.
    Il secondo bug riguarda un problema nella funzione cpuset_tasks_read che consentirebbe a utenti loggati nel sistema di leggere parte della memoria del kernel: questo potrebbe comportare l’accesso a informazioni riservate e protette.
    L’ultimo invece riguarda la poca sicurezza nel sistema di generazione  di numeri random in mancanza di una sorgente entropica.

    LINK: Changelog for kernel 2.6.21.4, note su kernel.org

    StartupLite: avvio di Windows più rapido

    StartupLite è una piccola utility realizzata da Malwarebytes che consente di disabilitare/rimuovere in maniera veloce e sicura tutte quelle voci di avvio che sono inutili e non necessarie.
    Il vantaggio è quello di avere un sistema più leggero e più veloce nel processo di startup chiaramente.
    L’utilizzo del programma è semplice: basta scaricarlo, lanciarlo con un doppio click e selezionare tutte le opzioni di avvio che si desidera rimuovere o cancellare.

    StartupLite Screenshot

    A questo indirizzo è possibile trovare una lista sempre aggiornata e completa di descrizione delle voci di startup riconosciute.
    Il programma può essere scaricato direttamente da qui.

    CISCO IOS: vulnerabilità multiple per l'ftp server

    Cisco ha rilasciato un advisory in cui si riporta la presenza di varie vulnerabilità che colpiscono il server FTP integrato nell’IOS.
    La conseguenza è che un attaccante potrebbe eseguire codice arbitrario ottenendo informazioni o provocando attacchi DoS.
    Le falle non sono state descritte in dettaglio tuttavia si sa che l’FTP server dell’IOS non controlla in maniera corretta i dati di login dell’utente. Un attaccante è cosi’ in grado di scrivere o leggere file dal server, come file di configurazione, che potenzialmente potrebbero contenere password.
    Sembra come detto sopra che sia possibile eseguire code-injection.
    Inoltre un esempio di DoS che è possibile attuare è quello di causare il restart continuo e improvviso del server durante i trasferimenti di files.
    Di default l’FTP server non è attivato, tuttavi alcuni amministratori lo utilizzano per installare nuove policies.
    Il consiglio è quello di disattivare l’FTP server in attesa di una patch/update software che risolva in maniera “pulita” il problema.

    Cisco Security Advisory: Multiple Vulnerabilities in the IOS FTP Server

    Chiusura o disconnessione troppo lenta? [1]

    Vi è mai successo che il vostro pc al momento della disconnessione o ancor meglio dello shutdown risulti particolarmente lento nel compiere l’operazione?
    Se avete notato questa cosa, una delle possibili cause può essere il fatto che:
    "I processi di sistema infatti possono in alcuni casi mantenere dei collegamenti con le chiavi di registro nel profilo utente dopo il processo di disconnessione. Se questa circostanza si verifica, la sessione dell’utente non può essere del tutto terminata e quindi causare dei problemi nell’utilizzo della funzionalità Profilo comune utente oppure in Blocco profilo in Shared Computer Toolkit."
    Per questo Microsoft mette a disposizione un particolare servizio appositamente studiato per migliorare le cose.
    "Il servizio User Profile Hive Cleanup (UPHClean) garantisce che le sessioni dell’utente vengano completamente terminate una volta eseguita la procedura di disconnessione (logoff).
    Il servizio monitora i profilo di utenti che hanno eseguito la disconnessione ma che risultano avere ancora una struttura di hive aperta nel Registro di sistema. Quando questa situazione si verifica, il servizio identifica quale applicazione ha degli handle aperti nella struttura di hive e quindi li rilascia, registrando il nome dell’applicazione e le chiavi di registro che erano state lasciate aperte. Al termine di questa procedura il sistema completa la disconnessione del profilo."

    Per effettuare il download del servizio cliccate qui.
    Attenzione è richiesta una copia genuina del sistema operativo.

    Apple patcha 25 falle di Mac OS X

    Nella giornata di ieri Apple ha rilasciato il quarto security update dell’anno, patchando ben 25 vulnerabilità del proprio sistema operativo, 24 delle quali interessano la versione 10.4 di Mac OS X.
    All’interno della lunga lista anche una patch per reti wireless per sistemi più vecchi.
    Tre fixes interessano il demone di autenticazione Kerberos e altri tre il sistema Login Window.
    Le altre patches interessano servizi Unix come ftpd, GNU tar, fecthmail, WebDAV e SMB. Due fixes a Libinfo impediscono ora a siti web malevoli di poter eseguire codice arbitrario.
    Apple ha aggiornato anche i servizi usati in iChat e in System Configuration.

    LINK:
    About Security Update 2007-004, dal sito Apple

    Hacking Ubuntu to Improve Performance

    Su ExtremeTech è stato pubblicato sotto forma di articolo un capitolo completo del libro “Hacking Ubuntu: Serious Hacks Mods And Cusomtizations“.

    Hacking Ubuntu: Serious Hacks Mods And Cusomtizations

    Il titolo dell’articolo è appunto “Hacking Ubuntu to Improve Performance” e vengono elencati svariati consigli su come incrementare le performace di una Ubuntu-box: consultare la lista dei processi attivi, identificare le risorse, controllare i processi allo startup, tuning ai parametri del kernel e migliorare i tempi di avvio.
    Nonostante la lettura sia interessantissima e molte cose possano essere risfruttate anche per altre distro, direi che il titolo è leggermente pretenzioso, in fin dei conti si tratta di un’utile raccolta di tips and tricks.
    Ma si sa che ormai la parola hack e hacker è in voga, basti pensare a tutte le serie di libri che escono con queste parole nel titolo.
    Detto questo comunque buona lettura! 😉

    FlyakiteOSX 3.5: cambia pelle al tuo Windows

    Vi segnalo un interessante software che consente di trasformare completamente dal punto di vista grafico il proprio sistema operativo Windows e renderlo Mac Os X like.
    Il software in questione è FlyakiteOSX 3.5, uno shell pack di cui di seguito elenco brevemente i requisiti di sistema:
    – Pentium 3 800Mhz
    – 128 MB Ram
    – 30 MB di spazio libero
    Una volta installato il sistema si appesantisce leggermente quindi è consigliabile utilizzarlo solo se avete per lo meno 512MB o più di RAM.

    FlyakiteOsX 3.5 Trasforma Windows in Mac OS X

    Visto che il sito principale del programma al momento non è raggiungibile ho messo online l’exe del pacchetto.
    Buon download e buon restyling!

    Prossimo Patch Tuesday il 10 aprile

    Il prossimo Patch Tuesday di Microsoft è previsto per il giorno 10 di questo mese.
    Dovrebbero venire rilasciati 5 security bullettins per consentire di chiudere alcune falle di sicurezza oltre ai classici updates.
    Quattro bullettin riguarderanno problemi di Windows, e almeno uno è probabile venga classificato come critico.
    Questi aggiornamenti con molta probabilità richiederanno un riavvio del sistema dopo l’installazione.
    A quanto pare invece le falle della suite Office note già da febbraio non sembra verranno patchate.
    L’altro security bullettin dovrebbe riguardare un bug critico del Microsoft Content Management Server.
    Dovrebbe venire rilasciata anche una versione aggiornata del Windows Malicious Software Removal Tool.
    Attraverso i servizi e le funzionalità Windows Update (WU), Software Update Services (SUS), Microsoft Updates e Windows Server Update Services (WSUS) verranno rilasciati altri 6 updates non relativi alla sicurezza.
    Solo pochi giorni fa il rilascio della patch che correggeva la falla riguardante i cursori animati (*.ani). Un problema molto esteso in quanto coinvolgeva non solo Internet Explorer, ma anche Firefox e altre applicazioni in grado di manipolare i file ANI, per esempio IrfanViewer.
    Sfortunamente la patch fornita ha creato problemi con i possessori di schede audio con chip Realtek e altri software di vario tipo: Microsoft si è vista ancora una volta a rilasciare la patch per la patch.

    Riferimenti:
    Microsoft Security Bulletin Advance Notification, dal sito Microsoft