Aggiornamento di sicurezza per SquirrelMail

Gli sviluppatori SquirrelMail ha annunciato il rilascio della versione 1.4.18 del loro webmail frontend opensource.
Gli update risolvono numerosi problemi di sicurezza, incluse vulnerabilità di tipo XSS (cross-site scripting) e un fix sulla gestione delle sessioni che consentiva di “rubare” le credenziali di login di un utente.
Patchata anche la possibilità eseguire codice server-side: non ci sono molti dettagli a riguardo.
Aggiunti il supporto per tre nuove lingue e miglioramenti ai meccanismi dei filtri e della rubrica.

Link per effettuare il download della nuova versione 1.4.18.

Riferimenti:
Security Update for SquirrelMail, by Heise Security

Processi separati per le future versioni di Firefox

Secondo quanto riportato sul wiki di Mozilla, le prossime versioni di Firefox utilizzeranno due processi distinti per interfaccia grafica e gestione dei contenuti web delle pagine.
A differenza di Google Chrome e Internet Explorer 8, i tab non avranno processi dedicati: questa modifica è “prevista” molto più avanti nel tempo.

Gli sviluppatori Mozilla affermano che i vantaggi saranno tutti in performance e stabilità: utilizzare processi separati per l’UI e per i contenuti consentirà di avere un browser che non si blocca quando ci sono problemi con un sito web. Le versioni attuali di Firefox sono costituite da un unico processo.
Un’anteprima semi-funzionante del browser è prevista per metà luglio, seguita dal rilascio della maggior parte del codice per l’inizio di Novembre assieme a tweaks su performace e stabilità.
Ignota invece la data di un rilascio finale.

Mozilla sta altresì prendendo in considerazione l’idea di utilizzare lo stack di rete “preso” da Chromium per rimpiazzare Necko, la loro libreria di rete.

RIFERIMENTI:
Future Firefox to run separate processes, by Heise Open Source

Twitter conferma di essere stato "bucato"

Twitter ha definitivamente confermato che si è verificato un accesso non autorizzato alla sua interfaccia amministrativa.
Il blog francese Korben ha pubblicato gli screen-shots in cui vengono mostrati i dettagli degli account appartenenti a Ashton Kutcher, Lily Allen, Britney Spears e Barack Obama.
Nelle immagini si vedono statistiche di accesso, indirizzi email, block lists ma non le password.

Stando a quando dichiarato da Graham Cluley di Sophos, il cracker avrebbe avuto accesso all’interfaccia di admin dopo aver indovinato la “domanda segreta” dell’account email di un impiegato di Twitter.
Questo gli ha cosi’ consentito di resettare la password e di individuare le credenziali di login dell’impiegato nella casella di posta.
Twitter afferma, dopo aver esaminato l’accaduto, che solamente dieci account personali sono stati “violati”. In ogni caso non sono state modificate le password o consultati i messaggi personali.
Verrà ora condotto un audit più approfondito di tutti i sistemi interni e verranno adottate ulteriori misure di sicurezza contro tentativi di intrusione.

RIFERIMENTI:
Twitter vu de l’intérieur – Interface admin piratée !, Korben blog
Twitter confirms security breach, by Heise Security

Ricercatori tedeschi sviluppano un network scanner per individuare Conficker

Felix Leder e Tillmann Werner dell’università di Bonn hanno analizzato il worm Conficker e hanno scoperto che cambia il modo in cui Windows risponde ad alcune chiamate di sistema.
Questa caratteristica puo’ quindi essere sfrutta per individuare in maniera remota i sistemi che sono stati infettati dal worm.

In particolare invocando la funzione NetpwPathCanonicalize(), che contiene la vulnerabilità attraverso cui il worm si diffonde.
Quando la macchina è infetta, Conficker intercetta e gestisce le chiamate a questa funzione, modificando in alcuni casi le risposte.
Affinchè questo test abbia successo è necessario che la porta TCP 445 sia accessibile.
Tipicamente questa porta non è accessibile (e non dovrebbe esserlo) attraverso da Internet.

Conficker worm NetpathCanonicalize function

Leder e Werner hanno realizzato uno scanner per dimostrare la veridicità di quanto scoperto.
In collaborazione con Dan Kaminsky, hanno inoltrato l’informazione al Conficker Working Group e altri esperti di sicurezza.
In questo i tool di scansione disporranno presto di questa funzionalità: in particolare Kaminsky ha annunciato estensioni per nmap, Tenable (Nessus), McAfee/Foundstone, ncircle e Qualys.
A quanto pare domani 1 aprile Conficker.C scaricherà da Internet degli aggiornamenti al proprio codice.
Gli effetti di questi updates non sono al momento conosciuti.
Attualmente molti produttori anti-virus offrono tools specifici per rimuovere Conficker.
In ogni caso la soluzione migliore per un sistema infetto è la reinstallazione del sistema operativo e l’eventuale ripristino di una copia “pulita” dei dati di backup.

RIFERIMENTI:
* German researchers develop network scan for Conficker worm, by Heise Security
* Detecting Conficker, announcement from the Honeynet Project.
* Scanner download, a ZIP file.

Disponibile Firefox 3.0.8

Mozilla ha rilasciato la versione 3.0.8 di Firefox.
L’aggiornamento, annunciato martedi’, era previsto per la settimana prossima, ma il pericolosissimo bug scoperto nei giorni scorsi (e relativo exploit) ha costretto a rilasciare in anticipo l’update.

Gli aggiornamenti sono disponibili per le piattaforme Windows, Mac OS X e Linux, e fixano due vulnerabilità.
Uno è per l’appunto il problema legato al parsing XSL, scoperto da Guido Landi e precedentemente segnalato da un utente della comunità Ubuntu come problema di stabilità.
L’altra vulnerabilità riguarda la possibilità di eseguire codice, legata ad un bug del metodo XUL tree. Questo bug è stato reso noto da Nils al Pwn2Own 2009.

Disponibili le Release Notes di Firefox 3.0.8.

RIFERIMENTI:
Firefox 3.0.8 now available, by Heise Security

SWFScan: security tool gratuito da HP per gli sviluppatori Flash

Hewlett-Packard ha reso disponibile un tool free per individuare problemi di sicurezza nelle applicazioni Flash.
SWFScan è infatti un tool per sistemi Windows dedicato a tutti quegli sviluppatori Flash interessati a rendere più sicure le proprie realizzazioni in Flash.

Il software una volta preso in input l’SWF da analizzare è in grado di decompilare il bytecode ActionScript 2/3 in codice sorgente originale, permettendone la scansione, alla ricerca di oltre 60 vulnerabilità conosciute.
Il tool è in grado di controllare svariati tipi di vulnerabilità, inclusi problemi di escalation di privilegi cross-domain, cross-site scripting (XSS) e altri leak nella sicurezza di informazioni confidenziali.
A tutto questo si aggiunge un check con le “best practices” di Adobe in fatto di sicurezza.

Stando a quanto riferito da Billy Hoffman, manager dell’HP Web Security Research Group, durante la fase di testing, gli autori hanno scaricato e scansionato col tool oltre 4000 applicazioni Flash in giro per la rete.
All’incirca il 35% di queste viola alcune delle security best practices di Adobe.
Dati sensibili come chiavi di crittazione, username e password sono spesso memorizzate nel codice Flash client-side.
Inoltre su 250 applicazioni con un form di login, ben il 15% conteneva username e password hard-coded.
E’ disponibile un video che dimostra come questi tipi di vulnerabilità in applicativi Flash possono essere sfruttati.

Il tool supporta tutte le versioni pubbliche di Flash e include delle funzionalità in grado di identificare e evidenziare pratiche di programmazione non sicura, suggerendo di volta in volta le best practices.
SWFScan consente agli sviluppatori di fare auditing anche su applicazioni di terze parti, senza avere accesso ai sorgenti originali.
Maggiori informazioni si possono trovare sulla pagina delle FAQ di SWFScan.

RIFERIMENTI:
HP publishes free security tool for Flash developers, by Heise Security
Creating more secure SWF web applications, report from Adobe.

Rilasciato PHP 5.2.9

Il team di sviluppo di PHP ha rilasciato la nuova versione 5.2.9 includendo oltre 50 bug fixes e alcune patches di sicurezza.
In particolar modo la funzione imagerotate() non effettuava in maniera corretta la validazione dei colori, dando cosi’ modo ad un potenziale attaccante di leggere in maniera arbitraria la memoria e di accedere a informazioni sensibili.
Altamente consigliato l’upgrade alla nuova release.

Riferimenti:
PHP 5.2.9 Release Announcement
PHP 5.2.9 published, by Heise Security

SQL Injection: chiusa vulnerabilità per ProFTPD

E’ già in circolazione un exploit che sfrutta una recente vulnerabilità scoperta in ProFTPD 1.3.1.
Stando all’Internet Storm Center, sarebbero già cominciati i primi tentativi di sfruttare la vulnerabilità per ottenere l’accesso a server ftp in giro per il web.

La falla riguarda i moduli mod_sql_mysql e mod_sql_postgres utilizzati da coloro che hanno abilitato l’autenticazione degli utenti da database SQL.
L’attacco è di tipo SQL injection: mediante username e passwords “creati” usando caratteri multi-byte è possibile bypassare i metodi di “string escaping” e eseguire codice SQL.
Questo puo’ consentire di rilevare ad esempio la lista degli utenti o addirittura di effettuare un reset delle passwords.
Tutte quelle installazioni che usano un’autenticazione utente basata sul s.o. non corrono alcun rischio.

La versione 1.3.2 che corregge il problema è già disponibile.
A breve dovrebbe essere rilasciata anche una patch per le versioni 1.3.1.
A ruota dovrebbe seguire gli aggiornamenti automatici forniti da tutte le maggiori distribuzioni Linux.

Riferimenti:
Encoding-dependent SQL injection vulnerability, ProFTPD bug report with patch.
SQL injection vulnerability in ProFTPD closed, by Heise Security

Google Calendar Phishing: il ritorno!

Graham Cluley di Sophos, nel suo blog avverte i lettori del ritorno di attacchi di phishing mediante Google Calendar.
Originariamente scoperto questa estate, il fenomeno riguarda l’uso di inviti ad eventi attraverso Google Calendar con la classica domanda del “verifica il tuo account”.
Agli utenti viene infatti chiesto per accettare l’invito di confermare la loro username, password e data di nascita.

I tentativi di phishing sembrano provenire da account email del tipo:
customerserviceXXXX@gmail.com
dove XXXX è un numero di 4 cifre.
Una volta cliccato, agli utenti viene presentata una vera pagina di evento Google Calendar che contiene numerosi errori grammaticali.
Il contenuto è simile a questo “we are having congestions due to the anonymous registration of Gmail accounts so we are shutting down some Gmail accounts”. Dopo di che viene richiesto di confermare le proprie credenziali.

Google Calendar Phishing

Informazioni aggiuntive:
Google Calendar Phishing returns, by Heise Security
Phishing with Google Calendar, Graham Cluley’s blog

Problemi di sicurezza per numerosi antivirus

Secunia e IVIZ Techno hanno pubblicato degli advisories riguardanti alcuni virus scanners.
Un controllo ActiveX vulnerabile dello scanner online Trend Micro HouseCall puo’ consentire di infettare un pc semplicemente visitando un sito web malevole.
Il problema è stato riscontrato nelle versioni House Call 6.51.0.1028 e 6.6.0.1278.
Gli utenti dovrebbero rimuovere il file Housecall_ActiveX.dll e visitare nuovamente il sito web House Call cosi’ da installare la versione piu’ recente 6.6.0.1285.

ESET Smart Suite per Windows è invece interessata da un problema riguardante il driver epfw.sys: sarebbe possibile ottenere i privilegi di sistema utilizzando particolari richieste IOCTL.
E’ già stato rilasciato un aggiornamento che fixa il problema.

Per quanto riguarda AVG per Linux è stata riscontrata una falla nel parsing dei pacchetti UPX che potenzialmente puo’ essere usata per code injection exploits.
La versione interessata è la 7.5.51 e non c’è alcuna patch disponibile al momento.
Problemi anche per la versione linux di BitDefender che soffre di integer overflows in fase di analisi di binari PE corrotti compressi con i packers Neolite o ASProtect.
In questo caso pero’ la casa madre ha già fixato il problema nelle versioni successive alla 7.6.0825.
Sempre in ambito Linux problemi di crash per Sophos SAVScan 4.33.0 che nella scansione di alcuni tipi di file compressi (con i packers Armadillo, ASProtect, asprotectSKE, CAB).
A quanto pare sono stati risolti i problemi con i file .CAB ma non con gli altri.
A chiudere la lista una vulnerabilità in Avast per Linux v1.0.8 (trial) già eliminata nelle successive (disponibile per il download la 1.2.0).

Ulteriori informazioni:
Vulnerabilities in several virus scanners by Heise Security
Trend Micro HouseCall “notifyOnLoadNative()” Vulnerability, Secunia advisory
Bitdefender antivirus for Linux multiple vulnerabilities, iViZ advisory
ESET Smart Security (epfw.sys) Privilege Escalation Vulnerability, NT Internals advisory
Sophos Anti-Virus fuzzed CAB archive vulnerability reported; Sophos advisory
Sophos Antivirus for Linux, iViZ advisory
AVG antivirus for Linux, iViZ advisory
Avast antivirus for Linux multiple vulnerabilities, iViZ advisory