Disponibile Firefox 3.0.8

Mozilla ha rilasciato la versione 3.0.8 di Firefox.
L’aggiornamento, annunciato martedi’, era previsto per la settimana prossima, ma il pericolosissimo bug scoperto nei giorni scorsi (e relativo exploit) ha costretto a rilasciare in anticipo l’update.

Gli aggiornamenti sono disponibili per le piattaforme Windows, Mac OS X e Linux, e fixano due vulnerabilità.
Uno è per l’appunto il problema legato al parsing XSL, scoperto da Guido Landi e precedentemente segnalato da un utente della comunità Ubuntu come problema di stabilità.
L’altra vulnerabilità riguarda la possibilità di eseguire codice, legata ad un bug del metodo XUL tree. Questo bug è stato reso noto da Nils al Pwn2Own 2009.

Disponibili le Release Notes di Firefox 3.0.8.

RIFERIMENTI:
Firefox 3.0.8 now available, by Heise Security

SWFScan: security tool gratuito da HP per gli sviluppatori Flash

Hewlett-Packard ha reso disponibile un tool free per individuare problemi di sicurezza nelle applicazioni Flash.
SWFScan è infatti un tool per sistemi Windows dedicato a tutti quegli sviluppatori Flash interessati a rendere più sicure le proprie realizzazioni in Flash.

Il software una volta preso in input l’SWF da analizzare è in grado di decompilare il bytecode ActionScript 2/3 in codice sorgente originale, permettendone la scansione, alla ricerca di oltre 60 vulnerabilità conosciute.
Il tool è in grado di controllare svariati tipi di vulnerabilità, inclusi problemi di escalation di privilegi cross-domain, cross-site scripting (XSS) e altri leak nella sicurezza di informazioni confidenziali.
A tutto questo si aggiunge un check con le “best practices” di Adobe in fatto di sicurezza.

Stando a quanto riferito da Billy Hoffman, manager dell’HP Web Security Research Group, durante la fase di testing, gli autori hanno scaricato e scansionato col tool oltre 4000 applicazioni Flash in giro per la rete.
All’incirca il 35% di queste viola alcune delle security best practices di Adobe.
Dati sensibili come chiavi di crittazione, username e password sono spesso memorizzate nel codice Flash client-side.
Inoltre su 250 applicazioni con un form di login, ben il 15% conteneva username e password hard-coded.
E’ disponibile un video che dimostra come questi tipi di vulnerabilità in applicativi Flash possono essere sfruttati.

Il tool supporta tutte le versioni pubbliche di Flash e include delle funzionalità in grado di identificare e evidenziare pratiche di programmazione non sicura, suggerendo di volta in volta le best practices.
SWFScan consente agli sviluppatori di fare auditing anche su applicazioni di terze parti, senza avere accesso ai sorgenti originali.
Maggiori informazioni si possono trovare sulla pagina delle FAQ di SWFScan.

RIFERIMENTI:
HP publishes free security tool for Flash developers, by Heise Security
Creating more secure SWF web applications, report from Adobe.

Nuovo firewall per il kernel Linux

Patrick McHardy del team di sviluppo Netfilter ha rilasciato una versione alpha di nftables, la nuova implementazione del firewall per il kernel Linux, assieme ad un tool user space per utilizzarlo.
nftables introduce una distinzione fondamentale tra le regole definite in user space e gli oggetti di rete nel kernel: il componente kernel funziona con dati generici come indirizzi IP, porte e protocolli e fornisce delle operazioni generiche per confronto delle informazioni di pacchetto con costanti o per scartare pacchetti.

Le regole del firewall, vengono definite attraverso il tool nft: a seguito di un controllo sono convertite in operazioni e oggetti kernel.
Da un’occhiata agli esempi nella pagina di annuncio, sembra proprio che nftables abbia una sintassi differenta da iptables.
Le regole possono essere aggiunte in maniera incrementale da command line oppure venir lette da un file appositamente scritto.

Il codice di nftables è attualmente in status alpha: contiene quindi bugs e non tutte le features sono state implementate.
E’ quindi assolutamente sconsigliato un suo utilizzo in ambiente di produzione, anche se gli sviluppatori hanno confermato che è sufficientemente robusto per poter cominciare a fare i primi esperimenti in ambienti di test.
Stando a McHardy infatti: “…tutte le funzionalità base e gran parte del resto, dovrebbero funzionare correttamente. L’ultimo crash serio al kernel si è infatti verificato mesi fa.”.

RIFERIMENTI:
New firewall for the Linux kernel, by Heise Security

Rilasciato PHP 5.2.9

Il team di sviluppo di PHP ha rilasciato la nuova versione 5.2.9 includendo oltre 50 bug fixes e alcune patches di sicurezza.
In particolar modo la funzione imagerotate() non effettuava in maniera corretta la validazione dei colori, dando cosi’ modo ad un potenziale attaccante di leggere in maniera arbitraria la memoria e di accedere a informazioni sensibili.
Altamente consigliato l’upgrade alla nuova release.

Riferimenti:
PHP 5.2.9 Release Announcement
PHP 5.2.9 published, by Heise Security

Apple: rilasciate svariate patch di sicurezza

Apple col suo Security-Update 2009-001, ha rilasciato numerosi fix di sicurezza per Mac OS x v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 e Mac OS X Server v10.5.6.
L’aggiornamento risolve anche il problema riguardante il browser Safari scoperto a metà gennaio. Il bug consentiva attraverso un particolare feed RSS di leggere i file dall’hard disk dell’utente.
Un update separato è disponibile per la versione di Safari 3.2.2 su Windows.
Risolti anche altri problemi scoperti in vari componenti Mac OS X inclusi X11, Samba, Squirrelmail, Python, Perl, CUPS, CFNetwork, ClamAV, e AFPServer CarbonCore.
Aggiornate anche le versioni di Java per Mac OS X 10.5 e e 10.4.
Risolti bugs inerenti Java Web Start e il plugin Java.

Riferimenti:
* About the security content of Security Update 2009-001, report from Apple.
* About the security content of Java for Mac OS X 10.4, Release 8, report from Apple.
* About the security content of Java for Mac OS X 10.5 Update 3, report from Apple.
* Apple closes critical security vulnerability in Safari, by Heise Security

SQL Injection: chiusa vulnerabilità per ProFTPD

E’ già in circolazione un exploit che sfrutta una recente vulnerabilità scoperta in ProFTPD 1.3.1.
Stando all’Internet Storm Center, sarebbero già cominciati i primi tentativi di sfruttare la vulnerabilità per ottenere l’accesso a server ftp in giro per il web.

La falla riguarda i moduli mod_sql_mysql e mod_sql_postgres utilizzati da coloro che hanno abilitato l’autenticazione degli utenti da database SQL.
L’attacco è di tipo SQL injection: mediante username e passwords “creati” usando caratteri multi-byte è possibile bypassare i metodi di “string escaping” e eseguire codice SQL.
Questo puo’ consentire di rilevare ad esempio la lista degli utenti o addirittura di effettuare un reset delle passwords.
Tutte quelle installazioni che usano un’autenticazione utente basata sul s.o. non corrono alcun rischio.

La versione 1.3.2 che corregge il problema è già disponibile.
A breve dovrebbe essere rilasciata anche una patch per le versioni 1.3.1.
A ruota dovrebbe seguire gli aggiornamenti automatici forniti da tutte le maggiori distribuzioni Linux.

Riferimenti:
Encoding-dependent SQL injection vulnerability, ProFTPD bug report with patch.
SQL injection vulnerability in ProFTPD closed, by Heise Security

Patch per VMware ESX e ESXi

VMware ha rilasciato degli aggiornamenti per ESX server e ESXi hypervisor che risolvono quattro vulnerabilità che affliggono VMware ESXi 3.5, VMware ESX 3.4, VMware ESX 3.0.3 e VMware 3.0.2.
Il primo fix riguarda problemi con snapshots VMDK (virtual machine disk) corrotte.
E’ possibile infatti che caricando un file danneggiato l’ESX host crashi.

E’ stato inoltre fixato il package net-snmp per rimuovere la vulnerabilità di tipo DoS (denial-of-service) legati ad un errato processing di comandi SNMP GETBULK.
Problemi di integer overflow risolti anche per la libreria XML libxml2, evitando potenziali attacchi di code injection, crash o loop applicativo.

Riferimenti:
Patches for VMware ESX and ESXi, by Heise Security
VMSA-2009-0001 ESX patches address an issue loading corrupt virtual disks and update Service Console packages, VMWare security announcement

Licenza gratuita per Parallels Workstation (Windows e Linux)

Tra i vari software di virtualizzazione sicuramente da tenere in considerazione c’è anche Parallels, che si è fatto conoscere all’inizio con la sua versione “Parallels Desktop” dedicata all’ambiente Mac.
Parallels Workstation è la versione del software dedicata ai sistemi Windows e Linux e di norma viene distribuito con licenza commerciale al prezzo di 50$.
Qui di seguito vedremo tuttavia i passi per ottenere una licenza gratuita e illimitata del software.
1) Puntare all’indirizzo web http://www.parallels.com/getkey/lunarp/ e registrarsi fornendo una mail valida.
2) Alla pagina di download selezionare la versione di interesse: EXE per la piattaforma Windows o TGZ/DEB/RPM per piattaforma Linux.
3) Controllare l’indirizzo email per recuperare il seriale di attivazione.
4) Installare Parallels e ignorare la richiesta di effettuare la registrazione (tasto “Skip registration”). Inserire semplicemente la chiave quando viene richiesto.

Buon download!

Fonte:
FREE Parallels Workstation for Windows and Linux Activation Key, RaymondCC Blog

Vulnerabilità per Windows Media Player

Security Tracker ha pubblicato un advisory nel quale viene reso noto che tutte le versioni di Windows Media Player, inclusa l’ultima 11, hanno un comune problema di sicurezza.
Il bug riguarda un integer overflow che può verificarsi durante l’ascolto di particolari file WAV, SND o MIDI. La falla può essere sfruttata per eseguire codice arbitrario con i privilegi dell’utente loggato.

Heise Security sfruttando lo snippet di codice allegato al report, ha testato con successo il crash di WMPlayer 9 su un Windows XP Service Pack 2 e Windows Media Player 11 su un WinXP SP3.
Visto che il bug scoperto da Laurent Gaffie non è stato ancora patchato è molto probabile che non passi molto tempo prima di vedere in circolazione exploits che sfruttino la vulnerabilità.

Approfondimenti:
* Vulnerability in Windows Media Player, by Heise Security
* Windows Media Player Integer Overflow in Playing WAV Files Lets Remote Users Execute Arbitrary Code, Security Tracker report

Problemi di sicurezza per numerosi antivirus

Secunia e IVIZ Techno hanno pubblicato degli advisories riguardanti alcuni virus scanners.
Un controllo ActiveX vulnerabile dello scanner online Trend Micro HouseCall puo’ consentire di infettare un pc semplicemente visitando un sito web malevole.
Il problema è stato riscontrato nelle versioni House Call 6.51.0.1028 e 6.6.0.1278.
Gli utenti dovrebbero rimuovere il file Housecall_ActiveX.dll e visitare nuovamente il sito web House Call cosi’ da installare la versione piu’ recente 6.6.0.1285.

ESET Smart Suite per Windows è invece interessata da un problema riguardante il driver epfw.sys: sarebbe possibile ottenere i privilegi di sistema utilizzando particolari richieste IOCTL.
E’ già stato rilasciato un aggiornamento che fixa il problema.

Per quanto riguarda AVG per Linux è stata riscontrata una falla nel parsing dei pacchetti UPX che potenzialmente puo’ essere usata per code injection exploits.
La versione interessata è la 7.5.51 e non c’è alcuna patch disponibile al momento.
Problemi anche per la versione linux di BitDefender che soffre di integer overflows in fase di analisi di binari PE corrotti compressi con i packers Neolite o ASProtect.
In questo caso pero’ la casa madre ha già fixato il problema nelle versioni successive alla 7.6.0825.
Sempre in ambito Linux problemi di crash per Sophos SAVScan 4.33.0 che nella scansione di alcuni tipi di file compressi (con i packers Armadillo, ASProtect, asprotectSKE, CAB).
A quanto pare sono stati risolti i problemi con i file .CAB ma non con gli altri.
A chiudere la lista una vulnerabilità in Avast per Linux v1.0.8 (trial) già eliminata nelle successive (disponibile per il download la 1.2.0).

Ulteriori informazioni:
Vulnerabilities in several virus scanners by Heise Security
Trend Micro HouseCall “notifyOnLoadNative()” Vulnerability, Secunia advisory
Bitdefender antivirus for Linux multiple vulnerabilities, iViZ advisory
ESET Smart Security (epfw.sys) Privilege Escalation Vulnerability, NT Internals advisory
Sophos Anti-Virus fuzzed CAB archive vulnerability reported; Sophos advisory
Sophos Antivirus for Linux, iViZ advisory
AVG antivirus for Linux, iViZ advisory
Avast antivirus for Linux multiple vulnerabilities, iViZ advisory