Il componente ActiveX chiamato XMLHTTP 4.0 ActiveX Control è il componente vulnerabile allo 0day scoperto all’interno di
Microsoft XML Core Services.
La vulnerabilità è pericolosa in quanto basta visitare un sito appositamente creato, per riuscire ad esereguire codice arbitrario sulla macchina vittima; i browser vulnerabili sono Microsoft Internet Explorer 6 e 7 su sistemi Windows 2000 SP4, Windows XP SP2 e Windows Server 2003 SP0/SP1.
Esiste un exploit privato per tale vulerabilità, ma non esiste una path ufficiale al problema. Microsoft fornisce solo workarounds: primo tra tutti quello di impostare il killbit dell’ActiveX in questione.
Per maggiori informazioni consultare il bollettino Microsoft scritto il 3 Novembre.
Malintenzionati hanno modificato dei link presenti sulla versione Tedesca di Wikipedia per indurre gli utenti a scaricare e installare malaware.
Le pagine riguardanti il worm Blaster sono state riscritte ad arte per far credere che il link ripotarto nella pagina sia veramente il fix al veccio worm, in realtà i link puntavano a malaware scritto appositamente per infettare macchine con Microsoft Windows.
Per aumentare l’esposizione degli utenti a questi link, confezionati appositamente, sono state inviate email di spam che avvertivano su una nuova, fantomatica, versione del worm Blaster. Dette email linkavano direttamente alla pagina di Wikipedia compromessa, in modo che gli avvisi in esse riportati fossero più credibili.
Gli articoli interessati sono stati ripuliti e da una stima della casa antivirus Sophos sembra che non vi siano state molte persone interessate dal problema. Per maggiori informazioni consiglio la lettura dell’articolo originale di Register.
In questi non potrò scrivere molto in quanto sto attraversando un periodo senza ADSL causa passagio da Tin.it a Alice di Telecom Italia.
Vista la mail da parte di Telecom Italia del 12 Ottobre 2006:
Gentile Cliente, desideriamo informarLa che dal 01/10/2006, Nuova Tin.it S.r.l. e’ confluita per incorporazione in Telecom Italia S.p.A.. Pertanto Telecom Italia S.p.A e’ subentrata in tutti i rapporti, le attivita’, i diritti e gli obblighi gia’ facenti capo a Nuova Tin.it S.r.l.
[...]
fa proprio soddisfazione dover aspettare minimo 10 giorni per riavere la portante ADSL dopo che è avvenuta la cessazione con Tin.it. Ma Telecom non ha dichiarato di essere subentrata nei rapporti e attività già presenti tra me, intestatario della linea ADSL, e Tin.it?? Siamo proprio in Italia!
Il servizio ICS di Microsoft Windows, il quale permette di condividere una connessione ad internet in una LAN, è soggetto ad un DoS nel caso in cui il datagramma DNS ricevuto contenga negli Additional RRs due byte NULL.
Da sabato 28 Ottobre è disponibile un exploit 0day remoto che sfruttando questo bug causa l’arresto del processo svchost.exe (modulo ipnathlp). Essendo ICS fortemente connesso a Windows Firewall per via di svchost, questo codice maligno riesce a bloccare anche il firewall di Windows.
Il bug può essere sfruttato solo se nella macchina target è attivo ICS. La cosa pericolosa è che tutto ciò è riproducibile su una macchina che monta Windows Xp SP2 aggiornata con le ultime patch.
Per maggiori informazioni si può leggere l’attenta analisi di Tyler Reguly della nCircle Network Security Inc e la RFC sul protocollo DNS.
Dall’ultima indagine di NetCraft risultano attivi 101,435,253 siti web, contro 97.9 milioni di Ottobre.
L’ultima indagine dimostra che i due giganti del mercato, Apache e IIS, sono pressochè stabili. Anche se, negli ultimi mesi, IIS sta rosicando qualche server ad Apache.
Nella prima indagine fatta da NetCraft nel 1995 i siti web attivi erano 18,957.
