Patch per 7 vulnerabilità di Adobe Flash Player

Adobe ha rilasciato la versione 9.0.124.0 del suo Flash player per Windows, Linux, Mac e Solaris: corrette sette 7 falle di sicurezza.
Stando al report un attaccante sarebbe in grado di prendere il controllo di un computer mediante l’uso di un file SWF “contraffatto”.
Una delle vulnerabilità è relativa a quanto emerso durante il recente “Pwn to Own” contest, che ha visto Shane Macaulay riuscire con successo ad hackerare un portatile con Windows Vista.

Per sfruttare il bug si forza il player Flash ad accedere in maniera “errata” ad oggetti ActionScript.
Secondo il report di Zero Day Initiative è necessario manipolare il tag DeclareFunction2. Tuttavia per “scavalcare” la protezione data execution prevention (DEP) di Vista, Macaulay ha sfruttato un trucco usando Java.
A quanto pare infatti Java su Vista sembra non funzionare correttamente in presenza del DEP attivato, ed è per questo che spesso viene disabilitato per Java.

Le altre vulnerabilità riguardano principalmente errori nella conformità della domain policy, che ha come scopo quello di evitare l’accesso al contenuto proveniente da altri domini.
L’aggiornamento re-imposta alcuni settaggi di sicurezza del Flash Player in modo da garantire un piu’ alto livello di sicurezza.
Stando ad Adobe, alcuni files SWF potrebbero non funzionare più, visto che Flash non supporta più in maniera completa gli URL Javascript.
Ulteriori dettagli in merito sono reperibili nel documento “Understanding Flash Player 9 April 2008 Security Update compatibility“.

L’aggiornamento è stra-consigliato visto che il numero di siti che sfrutta queste vulnerabilità sta aumentando a vista d’occhio.

Informazioni aggiuntive:
* Flash Player update available to address security vulnerabilities, security advisory from Adobe
* Adobe Flash Player DeclareFunction2 Invalid Object Use Vulnerability, security advisory from ZDI
* Adobe fixes seven vulnerabilities in Flash Player, by Heise Security

Sony BMG accusata di usare software pirata

Ironia della sorte, questa volta chi sta dalla parte del torto è Sony BMG, che più volte in passato si è resa protagonista di battaglie e scelte discutibili in materia di antipirateria.

L’accusa viene da una piccola compagnia di software francese che accusa la nota casa di far uso di software piratato.
L’episodio può essere riassunto come segue: la software house PointDev ha dichiarato che un impiegato Sony BMG ha contattato il supporto tecnico per ricevere assistenza circa l’uso dell’applicazione Ideal Migration.
Il problema è che alla richiesta del codice seriale del software, l’impiegato ha indicato un numero che stando a quanto afferma PointDev è sicuramente piratato. La società ha inoltre aggiunto che il loro tool sarebbe stato usato illegalmente ben dal 2004.

Il chief executive di PointDev, Henry Agustoni, ha spiegato a 01net che “Non siamo interessati ad un patteggiamento. Non si tratta semplicemente di una questione di soldi, ma quanto più di una questione di principio”.
Il caso ha provocato un enorme imbarazzo a Sony BMG, che in passato si è fatta promotrice di migliaia di azioni legali contro il filesharing e il download illegale di musica.

Va ricordato inoltre come la società tempo fa abbia introdotto un particolare sistema anti-copia sui propri cd, rivelatosi in realtà un rootkit in grado di porre a rischio attacco i pc dei propri acquirenti.
Thomas Hesse, presidente di Sony Global Digital Business, disse al tempo: “La maggior parte della gente, non sa nemmeno cosa sia un rootkit, perchè preoccuparsene quindi?”.
Sony tuttavia fu costretta ad ammettere lo sbaglio e ripagare i propri clienti.

Browser Security Test

A questo indirizzo potete trovare una serie di test sulla stabilità/sicurezza del vostro browser preferito.
Al momento la lista dei test inclusi è di 16, alcuni pero’ sono specifici per tipo di browser, di conseguenza l’opzione consigliata è “Only test for bugs specific to my type of browser“.
Questa la lista delle vulnerabilità che vengono provate durante il test:
1. Windows animated cursor overflow (CVE-2007-0038) Detailed test information
2. Mozilla crashes with evidence of memory corruption (CVE-2007-0777) Detailed test information
3. Internet Explorer bait & switch race condition (CVE-2007-3091) Detailed test information
4. Mozilla crashes with evidence of memory corruption (CVE-2007-2867) Detailed test information
5. Internet Explorer createTextRange arbitrary code execution (CVE-2006-1359) Detailed test information
6. Windows MDAC ADODB ActiveX control invalid length (CVE-2006-5559) Detailed test information
7. Adobe Flash Player video file parsing integer overflow (CVE-2007-3456) Detailed test information
8. XMLDOM substringData() heap overflow (CVE-2007-2223) Detailed test information
9. Mozilla crashes with evidence of memory corruption (rv:1.8.1.5) (CVE-2007-3734) Detailed test information
10. Opera JavaScript invalid pointer arbitrary code execution (CVE-2007-436) Detailed test information
11. Apple QuickTime MOV file JVTCompEncodeFrame heap overflow (CVE-2007-2295) Detailed test information
12. Mozilla code execution via QuickTime Media-link files (CVE-2006-4965) Detailed test information
13. Mozilla crashes with evidence of memory corruption (rv:1.8.1.8) ( CVE-2007-533) Detailed test information
14. Mozilla memory corruption vulnerabilities (rv:1.8.1.10) (CVE-2007-5959) Detailed test information
15. Mozilla crashes with evidence of memory corruption (rv:1.8.1.12) (CVE-2008-0412) Detailed test information
16. Apple QuickTime ‘QTPlugin.ocx’ ActiveX Control Multiple Buffer Overflows () Detailed test information

Spybot Search&Destroy ora anche anti-rootkit!

I creatori del noto software anti-spyware SpyBot Search&Destroy si son dati da fare e hanno realizzato un aggiornamento sotto forma di plugin che consente di cercare e individuare eventuali rootkits.
Il tool può essere eseguito anche come programma standalone.

Spybot Search&Destroy RootAlyzer

RootAlyzer, questo il nome del software, è ancora in fase di sviluppo ma può essere scaricato gratuitamente dal forum di Spybot Search&Destroy. Agisce controllando il registro, il file system e i processi in esecuzione alla ricerca di incoerenze e utilizzi sospetti di chiamate di sistema di vario tipo e API Win32 (possibile segnale di rootkits “a bordo”).

Per effettuare il download del programma cliccate qui.

RIFERIMENTI:
L’annuncio sul sito di Spybot Search&Destroy
Spybot Search&Destroy learns to sniff out rootkits, by Heise Security

Ben 46 fix per l'ultimo aggiornamento di Apple

Apple con l’aggiornamento di sicurezza 2008-002 ha fixato ben 46 vulnerabilità in Mac OS X e programmi di terzi parti in esso inclusi. Ben 25 delle vulnerabilità consentirebbero di effettuare code-injection.

L’aggiornamento fixa vulnerabilità presenti in: AFP client e server, Appkit, Application Firewall, CFNetwork, CoreFoundation, CoreServices, Foundation, Help Viewer, Image Raw, libc, Podcast Producer, Preview, printing, system configuration e UDF.
Tra gli aggiornamenti dei software di terze parti inclusi da segnalare: Apache, ClamAV, CUPS, curl, Emacs, file, Kerberos, mDNSResponder, notifyd, OpenSSH, pax, PHP, Wiki Server e X11.

L’aggiornamento a Safari rilasciato ieri fixa altre 13 vulnerabilità di sicurezza.
Tutti gli aggiornamenti sono disponibili attraverso il sistema automatico di update.
Aggiornamento consigliato appena possibile!

Riferimenti:
About Security Update 2008-002, security advisory from Apple
About the security content of Safari 3.1, security advisory from Apple
Apple security update fixes 46 bugs, by Heise Security

Winlockpwn tool: come bypassare il sistema di login di Windows via FireWire!

L’esperto di sicurezza Adam Boileau ha rilasciato il tool winlockpwn, che consente di bypassare il sistema di login di Windows attraverso una porta Firewire, senza conoscere la password da digitare.
Il programma è in grado di manipolare le routines di login in RAM di un sistema che gira, usando il direct memory access (DMA), attraverso una connessione Firewire.
Il tool supporta Windows XP SP2 come sistema target. La tipologia di attacco e il software non sono “nuovi”, in quanto Boileau aveva presentato il problema ad una presentazione ben 2 anni fa.

“Persone che hanno accesso fisico ad un sistema hanno la possibilità di entrare in molti modi…” questa è l’opinione di Boileau, che nel suo sito scrive come con winlockpwn sia “semplice e veloce”.
Come detto poco sopra, a riguardo della vulnerabilità Firewire era stata fatta una presentazione alla conferenza di sicurezza Ruxcon 2006. Nella presentazione è stato spiegato anche qual è il principio di funzionamento dell’hack: usando un Firewire ID copiato, il software inganna il sistema operativo facendogli credere che sia un dispositivo come ad esempio un iPod che necessita DMA.

Microsoft non ha mai rilasciato alcun fix perchè non considera il Firewire DMA un problema di sicurezza, visto che comunque rientra tra le specifiche dell’ IEEE-1394.
Il Direct Memory Access è fondamentalmente un qualcosa di indipendente dal sistema operativo, quindi anche Linux e MacOsX sono suscettibili al problema.
Di norma quindi per proteggere sistemi in cui la sicurezza è critica, le porte FireWire inutilizzate andrebbe disabilitate.

MAGGIORI INFORMAZIONI:
* Firewire, DMA & Windows, Project page by Adam Boileau
* Hit By A Bus: Physical Access Attacks with Firewire, Presentation by Adam Boileau at Ruxcon 2006
* Windows login bypass tool released, by Heise Security

Goolag Scan: il ritorno del gruppo Cult of the Dead Cow

Il nome “Cult of the Dead Cow” mi riporta alla mente vecchi ricordi.
Tempi del liceo, primi approcci un po’ da smanettoni con i classici tools hacker/underground che giravano allora.
A pensarci bene al tempo eravamo quelli che si potrebbero chiamare “script kiddies” ma d’altronde non avevamo nessuno a guidarci in questo fantastico mondo digitale.
E inoltre non c’erano le possibilità che ci sono ora. Pochi di noi avevamo il modem (ancora i vecchi 28.8k o 33.6k) e per collegarci sfruttavamo i collegamenti gratuiti settimanali o mensili Tin.it recuperati sulle riviste informatiche.
Poco importa, quello che conta è che ci capitò tra le mani questo nuovo tool “Back Orifice”, creato da un gruppo di hackers chiamato appunto “Cult of the Dead Cow” o cDc abbreviato.
A distanza di un po’ di anni hanno pubblicato un altro interessante tool denominato “Goolag Scan”.
Si tratta di un tool che raccoglie per l’esattezza 1418 “Google hacks” o “Google dorks”.
La tecnica del cosiddetto “Google Hacking” ovvero sfruttare il noto motore di ricerca come “alleato” nel trovare le vulnerabilità dei siti web, non è di certo nuova e esistono parecchi libri/ebook e siti che parlano dell’argomento.
La fonte più completa di informazioni è forse qui su ihackstuff.

Questo piccolo scanner (necessario framework .NET) raggruppa gli “hacks” in svariate categorie:
– Advisories and Vulnerabilities
– Error Messages
– Files containing juicy info
– Files containing passwors
– Files containing usernames
– Footholds
– Pages containing login portals
– Pages containing network or vulnerability data
– Sensitive Directories
– Sensitive Online Shopping info
– Various Online Devices
– Vulnerable Files
– Vulnerables Servers
– Web Server Detection

Il consiglio è chiaramente prima di provare la scansione sul proprio sito di selezionare un numero ridotto di voci.
Il programma infatti avverte come Google potrebbe tentare di bloccare l’ip nel caso riscontrasse una serie continua ed anomala di richieste provenienti dalla stessa “macchina”.
Buon divertimento! 😀

Goolag Scan - Cult of the Dead Cow

APPROFONDIMENTI:
Cult of the Dead Cow turns Google into a vulnerability scanner
Home page Cult of the Dead Cow
Download Goolag Scanner

StopBadware classifica RealPlayer come "badware"

A quanto pare recentemente (28 gennaio scorso) StopBadware, l’iniziativa creata da varie società IT e istituzioni, ha classificato il noto software RealPlayer come “badware”.
Questo nomignolo viene affibiato a tutti quei software come spyware, adware e malware di vario tipo che “spiano nel tempo” la navigazione degli utenti (tracciandone le abitudini), generano una miriade di finestre popup contenenti pubblicità e nei casi peggiori addirittura tentano di intercettare le password memorizzate sui computer infetti.

Il motivo per cui StopBadware ha classificato RealPlayer 10.5 come badware è perchè il software in questione non espone in maniera chiara all’utente finale che viene installato anche un adware. Il componente pubblicitario è il cosiddetto RealPlayer Message Center. L’EULA (End User License Agreement) per RealPlayer indica che questo componente fornisce aggiornamenti importanti/utili. In realtà Message Center continua a mostrare un fastidioso avviso se gli utenti non registrano i propri dati personali creando un account su RealNetworks.

RealPlayer 11 dal canto suo non informa l’utente che il player Rhapsody (utile per l’online music store di RealNetworks) viene installato, ma non rimosso quando si va ad effettuare la disinstallazione del prodotto.
Nessun avviso ne’ in fase di installazione, ne’ in fase di disinstallazione avverte l’utente del legame che c’è tra RealPlayer e il Rhapsody Player.

Attualmente la versione 10.5 viene installata anche attraverso il Mozilla Plugin Finder, mentre la 11 è disponibile per il download direttamente sull’homepage di RealPlayer.
StopBadware sconsiglia quindi vivamente l’installazione di questo software e in particolare di queste versioni fino a quando RealNetworks non risponderà alla segnalazione rilasciando una versione pulita del proprio programma.

In alternativa è possibile usare VLC Mediaplayer per ascoltare musica in formato RealMedia, prestando però attenzione ai data stream RTSP visto che il software soffre ancora di un bug scoperto qualche settimana fa.
Altra possibilità è l’uso di Real Alternative, player che incorpora i codec RealPlayer, tuttavia senza il permesso di RealNetworks.
Risulta evidente che si tratta di una soluzione non propriamente legale 😀

RIFERIMENTI:
StopBadware initiative rates RealPlayer as “badware”, by Heise Security
RealPlayer, report by StopBadware

Metasploit 3.1 aggiunge il supporto per iPhone

E’ stata rilasciata la versione 3.1 del noto framework Metasploit.
I cambiamenti più importanti rispetto alla versione 3.0 (rilasciata circa 10 mesi fa), sono una interfaccia grafica per Windows, numerosi nuovi tools integrati e moduli aggiuntivi.
Lo sviluppo della GUI, che ora include un file e un process browser, è stato seguito oltre che dallo sviluppatore di Metasploit, H.D. Moore anche dall’esperto di sicurezza Fabrice Mourron.
Il tool ora include la suite METASM, scritta in Ruby, che include assembler, disassembler, compiler, linker e debugger.

Novità importante il fatto che tra i moduli inclusi ci siano anche quelli per l’exploiting e lo sfruttamento delle vulnerabilità dell’Apple iPhone.
Aggiunti anche la libreria heapLib per l’exploting dei browser, una versione corretta dei tools wifi Lorcon e Scruby, e la versione Ruby di Scapy packet generator/analyser. E’ stata raggiunta quota 450.

Maggiori informazioni sono disponibili sul relativo sito internet dal quale è possibile anche effettuare il download di una delle versioni disponibili per Linux, BSD, Mac OS X, Windows Cygwin, Windows 2000/XP/2003/Vista.

RIFERIMENTI:
Metasploit version 3.1 adds iPhone support, by Heise Security

Pericolosa vulnerabilità per UltraVNC Viewer

Sul forum di UltraVNC è comparsa la segnalazione di un bug che interessa vncviewer, parte del pacchetto UltraVNC server, e che consentirebbe ad un ipotetico attaccante di ottenere l’accesso al sistema vittima.
Non è stata rilasciata alcuna informazione circa la vulnerabilità da parte degli sviluppatori, ma questa potrebbe venire sfruttata quando vncviewer gira in listening mode o è connesso ad un server appositamente modificato. Fintanto che il viewer gira in modalità listening un server puo’ stabilire con esso una connessione.

Il problema di sicurezza si verifica anche in caso sia attivo il plugin DSM (per l’encrypting della comunicazione), anche se in questo caso l’attaccante dovrebbe essere in possesso di una chiave valida.
Il server non è invece interessato da simili problemi di sicurezza.
Il report su uvnc.com, segnala il bug come presente nelle versioni 1.0.2 (stabile) e in tutte le release candidates dalla 1.0.4 in su.
Il consiglio è dunque quello, laddove possibile, di effettuare l’aggiornamento o quanto meno di disattivare il listening mode e connettersi solamente a server fidati.

RIFERIMENTI:
Uninvited remote maintenance for UltraVNC clients, by Heise Security
WARNING: vulnerability found in the vncviewer…, security advisory on the uvnc forum