Info:

twitter

Ultimi commenti: Comment feed

Tags:

Sponsor:

Archivio 2018:

Gen

Archivio 2017:

Dic Nov Ott Mag Apr Mar Feb Gen

Archivio 2016:

Dic Nov Ott Ago Mag Mar Feb Gen

Archivio 2015:

Nov Ott Set Mar Gen

Archivio 2014:

Dic Nov Ott Set Lug Giu Mag Apr Gen

Archivio 2013:

Dic Nov Set Ago Lug Giu Mag Apr Feb Gen

Archivio 2012:

Dic Nov Ott Set Ago Giu Mag Apr Mar Feb Gen

Archivio 2011:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2010:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2009:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2008:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2007:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2006:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Fiji de p*ta

Chiedo scusa per l’espressione colorita riferita ai soliti str*nzi cinesi alla ricerca di password per World of Warcraft et similari.

Due parole sull’ultima vulnerabilità di IE7. È seria, per tanti motivi, ne elenco almeno un paio:

  1. questa gente è alla ricerca di password e cookie; il protected mode purtroppo non serve a proteggere dalla lettura, ma solo dalla scrittura.
  2. gli str*nzi di cui sopra stanno sfruttando vulnerabilità da SQL injection per infettare a gogo tramite IFrame. Questo significa che molti siti “tranquilli” potrebbero diventare portatori sani della vulnerabilità.

Il consiglio migliore è quello di navigare al largo usando una virtual machine continuando ad usare il browser preferito (IE7, Chrome, Firefox, ecc.) FUORI dalla virtual machine per siti “protetti” (banche serie et. similia).

Firofox non è una soluzione. Safari/Chrome neanche (thanks Rocco). È immaginabile che presto gli attacchi diventeranno sempre più elaborati.

L’evoluzione della vicenda può essere seguita sul sito ufficiale o in alternativa sui soliti siti molto informati.

-quack

Potrebbero interessarti anche:
Commenti (29):
1. Blackstorm
lunedì 15 dicembre 2008 alle 11:40 PM - unknown unknown unknown
   

Una cosa non capisco: perchè ff non servirebbe contro questa vulnerabilità? Cioè, va beh, safari fa pena e lo sapevamo già, ma ff non saprei... ti riferisci forse al famoso exploit mai patchato del pwd manager?

   
2. vik
martedì 16 dicembre 2008 alle 12:11 AM - unknown unknown unknown
   

Ma chi è che usa ancora il pwd manager? Mah... E comunque W Opera!

   
3. Edward
martedì 16 dicembre 2008 alle 3:17 AM - unknown unknown unknown
   

Attento al report di Bit9, che consiglio di scaricare in seleziona solo alcune delle applicazioni affette nel corso del 2008 da bug critici (ossia di livello 10: massimo danno, massima sfruttabilita'), prive di un meccanismo di update automatico centralizzato, diffuse e ritenute non pericolose dagli amministratori di sistema.

Come minimo e' incompleto: trascura tutti i bug di importanza alta ma non critica; inoltre, come ricorda Paperino, non conta sapere quanti bug hai (o, meglio, conta relativamente poco) ma quanto siano pericolosi e sfruttati e questo Bit9 non lo considera (massimo rischio si, ma ci sono exploit in the wild?). Secondo: si basa sullo storico dei bug di un'applicazione, ma spesso sono bug gia' corretti. Poi c'e' un problema secondario: esiste del software "non a rischio" secondo la classificazione di Bit9?

[ironia]

Finora IE non ha sofferto di bug critici (livello 10), al massimo di livello molto alto (9.3), e' molto diffuso, l'aggiornamento e' integrato con quello di Windows ma ho seri dubbi che i sysadmin lo considerino un software fidato ; per Firefox ve ne sono 10 critici considerando sia la versione 2 che la 3 [1]; Opera ne ha una, Safari ne ha una ma non per Windows (solo per l'iPhone), Chrome non ne ha :), Lynx ne ha una e, in ogni caso, non dispone di un update automatico.

Escludendo i papabili Safari e Chrome a causa del password manager insicuro ed IE a causa del recente bug (a proposito, che criticita' ha per la CVE? Credo solo 9.3, ma non ne sono certo), possiamo tranquillamente ripiegare su browser meno conosciuti, senza bug critici apparsi nel 2008 e con il massimo supporto a standard consolidati quali HTML 1.0, FTP e Gopher, talmente stagionati da non aver bisogno di un aggiornamento e sicuramente non perniciosi agli occhi dei sysadmin, almeno non piu' dei giochetti Flash:

- Mosaic e' assente dalla CVE e considerando che e' sul mercato dal 1997, deve essere ultracollaudato. Ottimo per navigare nel Web Archive e riscoprire gli Yahoo ed Altavista di 10 anni fa. Retronavigatori avvisati: la versione 3 non e' compatibile con Windows 3.1 ;

- Arachne: ottimo browser per DOS virtualmente bugfree, i coraggiosi possono eseguirlo dentro la DOS VM di Windows. Premio a chi riesce a far funzionare l'emualzione modem ;

- Minuet: interfaccia in TurboVision (stile TurboPascal), parco di risorse, soffre delle stesse limitazioni di Arachne.

[/ironia]

Scherzo ma non troppo: moderno e riskfree sono due aggettivi contrapposti in un browser attuale.

Bit9 fa solo il suo lavoro: whitelistening delle applicazioni, una specie di "Uomo Del Monte" che "certifica" software a destra e a manca. Peccato che io creda poco ai bollini ...

 

Elf

 

[1] Nel dettaglio:

- CVE2008-5052, CVE2008-5013, : affliggono FF2, corretti dalla release 2.0.0.18;

- CVE2008-5024, CVE2008-5023, CVE2008-5022: affliggono entrambi, patchati in 3.0.0.4 e 2.0.0.18;

- CVE2008-4064, CVE2008-4063: affliggono FF3, patchati dalla 3.0.0.3;

- CVE2008-4062, CVE2008-4061: affliggono entrambi, patchati dalla 3.0.0.3 e dalla 2.0.0.17;

- CVE2008-0016: colpisce FF2, corretto dalla 2.0.0.17 .

   
4. flod
martedì 16 dicembre 2008 alle 7:39 AM - unknown unknown unknown
   

Domanda semplice semplice: partendo dal presupposto che applicazioni prive di bug non esistano, meglio un'applicazione con x bug gravi chiusi o un'applicazione con y (dove x>>y) bug gravi aperti?

Io una risposta me la sono data, ed è per questo motivo che trovo la frase "Firefox non è una soluzione" quantomeno bizzarra (riferita al contesto di questo post).

   
5. Enrico FOLBlog
martedì 16 dicembre 2008 alle 9:26 AM - unknown unknown unknown
   

@Paperino

Azz, non era FUD, quindi...

Firofox non è una soluzione

Ti riferisci a FF da solo, o anche alla coppia Firefox & NoScript?
FF con NoScript è un po' simile ad Internet Explorer con protezione Internet impostata su Alta, che richiede l’autorizzazione prima di eseguire Active Scripting.
Inoltre NoScript ha un sistema di protezione dal clickjacking.
Se l'attacco viene fatto tramite IFrame, suppongo nascondendo un oggetto invisibile all'utente e/o reindirizzando il suo click, NoScript lo rileva.

Perciò a prescindere dal tipo di vulnerabilità, se questa viene sfruttata tramite IFrame è possibile che NoScript lo impedisca.
Mi sbaglio?
E se si, gentilmente, mi spiegate il perchè?
Grazie

 


   
6. Enrico FOLBlog
martedì 16 dicembre 2008 alle 10:13 AM - unknown unknown unknown
   

@Blackstorm

ti riferisci forse al famoso exploit mai patchato del pwd manager?

Quel bug è già stato corretto a partire dalla versione 3.0.3.
In ogni caso potrebbe tornare utile allo scopo Secure login?

Secure Login is a login extension for Mozilla Firefox integrated password manager.
Its main feature is similar to Opera's (the browser) Wand login.

   
7. Edward
martedì 16 dicembre 2008 alle 11:48 AM - unknown unknown unknown
   

Attento al report di Bit9, che consiglio di scaricare in seleziona solo

Errata corrige: l'Insert link accetta solo pagine HTML e ha cancellato il testo a cui ho linkato il report in pdf.

Attento al report di Bit9, che consiglio di scaricare in pdf [1]: Bit9 seleziona solo [...]

 

Edward

 

[1] www.bit9.com/files/Vulnerable_Apps_DEC_08.pdf

   
8. gino
martedì 16 dicembre 2008 alle 2:13 PM - unknown unknown unknown
   

chissà come mai nessuno risponde a flod...

la ripeto se non fosse chiara:


secunia.com/.../

secunia.com/.../

è meglio un grafico con più o meno zona rossa? sicuramente con meno zona rossa...e chi è che ne ha di più?

ps in questo momento la prima pagina di secunia è tutta per ms, e non è affatto bello

http://secunia.com/advisories/

   
9. Paperino
martedì 16 dicembre 2008 alle 7:44 PM - unknown unknown unknown
   

Particolare inquietante: la vulnerabilità 0-day è stata resa pubblica per sbaglio da un ricercatore cinese.

@flod:

la risposta alle tue obiezioni richiedono più di 10 minuti di tempo. Volevo però puntualizzare che la vulnerabilità mi ha dato una scusa per parlarne, ma non credo che cercare di capire quale sia la cosa giusta da fare vulnerabilità per vulnerabilità porti lontano.

@gino:

eh si, una gran brutta figura. Spero che quello del 0-day Wednesday non sia l'inizio di un trend.

   
10. flod
martedì 16 dicembre 2008 alle 8:02 PM - unknown unknown unknown
   

la risposta alle tue obiezioni richiedono più di 10 minuti di tempo.
Be', non ho fretta e sarei interessato alla tua risposta

Peraltro sarei anche curioso rispetto ad un altro aspetto del discorso (decisamente OT rispetto al post): il numero di bug (gravi, non gravi, inutili, aperti o meno) è una metrica valida per stabilire la sicurezza di un software?

Pochi minuti dopo aver commentato qui ho trovato questo articolo (che trovo in larga parte condivisibile): blog.mozilla.com/.../the-importance-of-good-met...

   
11. sluti
martedì 16 dicembre 2008 alle 8:17 PM - unknown unknown unknown
   

scoperta falla 0-day anche in Firefox  3.04:

bugzilla.mozilla.org/attachment.cgi?id=302699

   
12. Enrico FOLBlog
mercoledì 17 dicembre 2008 alle 7:04 AM - unknown unknown unknown
   

@Gino

chissà come mai nessuno risponde a flod...

Premessa: il mio browser preferito è Firefox (a scanso di equivoci).

Non è facile rispondere a flod basandosi solo su quei grafici.

Mancano dati che li rendano prova oltre che solo indizio.

Innanzi tutto il dato è espresso in %.
Tu preferiresti avere il 30% di unpatched su 20 problemi totali rilevati, oppure il 14% di 1000?

Inoltre manca il tempo medio trascorso tra l'isolamento della falla di sicurezza e la sua soluzione.

   
13. Pr3d
mercoledì 17 dicembre 2008 alle 9:15 AM - unknown unknown unknown
   

Da segnalare anche questo:

 

http://www.info-svc.com/news/2008/12-12/

   
14. RNiK
mercoledì 17 dicembre 2008 alle 3:06 PM - unknown unknown unknown
   

Firofox non è una soluzione

Ma Firefox + NoScript SI.

Per il resto quoto tutte le considerazioni di Flod.

Comunque davvero una delle più grosse vulnerabilità scoperte su IE; incredibile riesca a colpire così tante versioni del browser su così tanti Sistemi Operativi.

   
15. suc
mercoledì 17 dicembre 2008 alle 3:49 PM - unknown unknown unknown
   

@gino

aspetta qualche ora e vedrai che sarà popolate da falle di Firefox: oltre una dozzina di cui alcune altamente critiche permettono di eseguire codice arbitrario da remoto in Firefox 3.0.4 e 2.x. Chi è che diceva fino a ieri che conveniva usare FF per proteggersi dalla falla di IE??? ROTFL

   
16. Paperino
mercoledì 17 dicembre 2008 alle 7:16 PM - unknown unknown unknown
   

Le previsioni del tempo si fanno tragiche, in giro solo qualche coraggioso e quindi significa che ho finalmente più di qualche minuto senza interruzioni...

@flod:

con la mia frase "Firefox non è una soluzione" non mi riferivo allo specifico problema. Mi riferivo a quella che sta diventando la navigazione Web: IE7/Vista ha alzato la guardia di parecchio eppure ci sono modi per fare soldi illegalmente senza dover installare niente sui PC delle vittime; eppure questo baco affligeva tutte le versioni di IE ma è stata scelta solo IE7.

Un altro elemento che mi disturba parecchio è l'involontaria complicità di web server infettati che rende questo tipo di exploit pericolosissimi. Se il problema fosse solo relativo ai siti porno sarei tendente all'estremo cinismi e pensare semplicemente 'azzi loro (in tutti i sensi ).

A questo punto mi chiedo: quanto ci vuole per trasformare un IFRAME acchiappa-IE in un IFRAME acchiappa-XYZ? (RNiK, non saprei se No-Script sia sufficiente). Ci vuole pochissimo. Tra l'altro a differenza di IE7-Chrome/Vista i danni perpetrabili via FireFox/Safari/Opera sono di ordini di grandezza superiori.

Infine 0-day vs. non-0-day: nei termini del discorso cambia pochissimo. Non è che con la patch di oggi i problemi relativi a questo baco siano magicamente scomparsi, anzi.

Si può fare qualcosa? Certo però bisognerebbe smettere di pensare alla sicurezza come una possibile occasione di marketing. Non so se lo sforzo di individuare una buona metrica vada in questa direzione, tuttavia ritengo che il numero di bachi (patchati e non) sia una buona indicazione della qualità.

Si può fare qualcosa? Io avrei alcune idee...

   
17. FDG
mercoledì 17 dicembre 2008 alle 7:21 PM - unknown unknown unknown
   

@Paperino

Particolare inquietante: la vulnerabilità 0-day è stata resa pubblica per sbaglio da un ricercatore cinese.

Domanda: la vulnerabilità è diventata 0-day prima o dopo esser stata resa pubblica?

   
18. Paperino
mercoledì 17 dicembre 2008 alle 7:24 PM - unknown unknown unknown
   

Da quello che ho letto l'exploit è stato pubblicato dopo l'annuncio del ricercatore cinese.

   
19. Pr3d
mercoledì 17 dicembre 2008 alle 8:17 PM - unknown unknown unknown
   

Infine 0-day vs. non-0-day: nei termini del discorso cambia pochissimo. Non è che con la patch di oggi i problemi relativi a questo baco siano magicamente scomparsi, anzi.

Che intendi dire?

   
20. Paperino
mercoledì 17 dicembre 2008 alle 8:25 PM - unknown unknown unknown
   

Intendo dire che le vittime di questo tipo di attacchi non saremo né io, né te e neppure flod. Saranno gli utOnti che non sanno neanche quello che sta succedendo e non si sforzeranno di aggiornare/riavviare i loro OS per tempo.

   
21. gino
mercoledì 17 dicembre 2008 alle 10:48 PM - unknown unknown unknown
   

Innanzi tutto il dato è espresso in %.
Tu preferiresti avere il 30% di unpatched su 20 problemi totali rilevati, oppure il 14% di 1000?

il problema è che nei grafici ci sono pure i valori assoluti: 8 per firefox e 33 per ie

aspetta qualche ora e vedrai che sarà popolate da falle di Firefox: oltre una dozzina di cui alcune altamente critiche permettono di eseguire codice arbitrario da remoto in Firefox 3.0.4 e 2.x. Chi è che diceva fino a ieri che conveniva usare FF per proteggersi dalla falla di IE??? ROTFL

qualche ora? quei grafici di secunia si riferiscono ad un periodo di 5 anni fino ad oggi. strano eh?

Tra l'altro a differenza di IE7-Chrome/Vista i danni perpetrabili via FireFox/Safari/Opera sono di ordini di grandezza superiori.

fonte, link e spiegazione di cosa vuol dire "ordini di grandezza superiori". altrimenti non vale

tuttavia ritengo che il numero di bachi (patchati e non) sia una buona indicazione della qualità.

e questo ci riporta ai grafici di secunia...

   
22. Paperino
mercoledì 17 dicembre 2008 alle 10:59 PM - unknown unknown unknown
   

@gino:

Numero di bachi: non ti sembra un po' strano confrontare due prodotti rilasciati a distanza di quasi 2 anni? Dobbiamo fare le proporzioni? Suvvia...

Per quanto riguarda il discorso di ordini di grandezza superiori. Ricordi il baco dei "cursori mannari"? Perché era colpito solo FireFox anche se il baco era in Windows? Con IE7/Vista nella peggiore delle ipotesi, salvo spettacolari eccezioni, si può parlare di data disclosure (che è quello che sta succedendo) per via del Protected Mode. Con Firefox/Safari/Opera si può arrivare a compromettere l'intera sessione partendo dalla distruzione/sovrascrittura del profilo utente per finire con l'installazione di script/eseguibili in autostart per lo specifico utente (spyware, malware generico, ecc.).

   
23. gino
mercoledì 17 dicembre 2008 alle 11:13 PM - unknown unknown unknown
   

assolutamente no. mi sembra normalissimo perchè stiamo confrontando due periodi UGUALI: 2003-2008

   
24. Paperino
mercoledì 17 dicembre 2008 alle 11:25 PM - unknown unknown unknown
   

erh... Internet Explorer 7 è uscito in Ottobre 2006; FireFox 3.0 è uscito a Giugno 2008. Dubito che ci fossero dei bachi per FF 3.0/IE 7 già nel 2003, però se qualcuno è riuscito a trovarne e vuol farmi sapere come si fa sarei interessato.

Ripeto:
FF 3.0, 8 bachi in 6 mesi. = 1.33 bachi al mese
IE7 33 bachi ma in 26 mesi = 1.26 bachi al mese

Siamo lì, no?

   
25. Paperino
giovedì 18 dicembre 2008 alle 12:11 AM - unknown unknown unknown
   
   
26. Enrico FOLBlog
giovedì 18 dicembre 2008 alle 9:27 AM - unknown unknown unknown
   

@gino

il problema è che nei grafici ci sono pure i valori assoluti: 8 per firefox e 33 per ie

O cacchio! Mi era sfuggito.

   
27. flod
giovedì 18 dicembre 2008 alle 11:48 AM - unknown unknown unknown
   

A questo punto mi chiedo: quanto ci vuole per trasformare un IFRAME acchiappa-IE in un IFRAME acchiappa-XYZ? (RNiK, non saprei se No-Script sia sufficiente).

Sì, perché di default viene bloccato qualsiasi contenuto attivo e, nel caso tu abbia considerato attendibile il sito in questione, verresti comunque avvisato perché lo script risiede su un dominio diverso (e non autorizzato).

Infine 0-day vs. non-0-day: nei termini del discorso cambia pochissimo. Non è che con la patch di oggi i problemi relativi a questo baco siano magicamente scomparsi, anzi.

In realtà contano i tempi di risposta da parte del vendor e la tempistica media con cui gli utenti applicano patch e installano aggiornamenti.

P.S. e per la cronaca, l'altro giorno un utente si è inca$$ato perché Mozilla ha deciso di non supportare più Windows NT4...

   
28. Paperino
giovedì 18 dicembre 2008 alle 5:09 PM - unknown unknown unknown
   

@flod: da quel che ho capito sleggiucchiando l'exploit di IE7 non si trattava di contenuto attivo, oltre al fatto che anche in generale i contenuti attivi non sono condizione né necessaria né sufficiente. Pensa al baco di Safari con gli ISO. Per questo anche se No Script può essere efficace non è una misura "a tappeto": sembra molto simile al setting di altissima sicurezza di IE.

l'altro giorno un utente si è inca$$ato perché Mozilla ha deciso di non supportare più Windows NT4...

Ma conosce il significato delle parole "non supportato"?

   
29. flod
giovedì 18 dicembre 2008 alle 8:00 PM - unknown unknown unknown
   

Peraltro in Italia vige una bellissima legge (196/2006) che sostanzialmente mette fuori legge NT4 per le aziende.

Nota a margine: la build Windows di Firefox 2.0.0.19 si è persa un pezzo per strada (manca una fix), per cui tocca buttare fuori la 2.0.0.20 a due giorni di distanza. Come dicevo sopra, accà nisciuno è perfetto ;-)

P.S. Firefox 3.2 (o quel che si chiamerà) rimuoverà il supporto a OS X 10.4.x, e già hanno cominciato a lamentarsi

   
Lascia un commento:
Commento: (clicca su questo link per gli smiley supportati; regole di ingaggio per i commenti)
(opzionale, per il Gravatar)