Il 12 Dicembre scorso è stato reso pubblico un PoC che causa il crash di Word. Oltre al crash sembrerebbe possibile anche l’esecuzione di codice arbitrario. Il 12 non è stato un giorno a caso, ma era il martedì delle patch di Microsoft.
Come al solito basta aprire il documento “.doc.” con Word per essere colpiti.
Questo, è il terzo bug di Word scoperto nel giro di una settimana. L’advisory è stata rilasciata dal Search McAfee Avert, il solito giorno dell’uscita del PoC, classificandola con il nome di “Microsoft Word 0-Day Vulnerability III“.
Da quanto riportato sulla mailing-list Full Disclosure il PoC rilasciato colpisce anche OpenOffice 1.3. Io aggiungo che colpisce anche OpenOffice 2.0.4 e 2.1 per Windows (la versione Linux non l’ho ancora testata).

La cosa più grave è che un PoC rilasciato 2 giorni fa non è ancora inserito nelle definizione della maggior parte degli antivirus. Inviando infatti il file a VirusTotal, in grado di analizzarlo con 29 diversi anti-virus/anti-malaware, risulta che solamente due di essi riconoscono il file come infetto.
Fare click sull’immagine per ingrandirla.

Riporto il comunicato stampa di ieri 13 Dicembre

Oggi, l’Autorità per le Garanzie nelle Comunicazioni ha esaminato gli esiti dell’indagine conoscitiva sui servizi di telefonia mobile con ricarica del credito ed ha deciso di promuovere un intervento regolamentare a tutela degli utenti attraverso lo svolgimento – ai sensi di legge – di una consultazione pubblica della durata di 30 giorni. A conclusione di tale consultazione, sarà assunta la decisione finale.

Obiettivo della nuova struttura tariffaria è garantire la massima trasparenza e tutelare le fasce sociali più deboli, che sono quelle che oggi subiscono il maggiore aggravio del costo.

Qualche giorno fa, il 7 Dicembre per la precisione, in un articolo di Repubblica è stato riportato un passo di Calabrò (presidente dell’Autority) durante il suo intervento al programma “Consumi&Costumi” di Repubblica Tv:

Non posso anticipare le decisioni del consiglio – ha affermato oggi Calabrò – ma presto imporremo che questo scalino venga appianato. Noi non possiamo abolire i costi di ricarica, perché siamo in una economia di mercato. Se i gestori hanno dei costi è giusto che siano remunerati, ma non accentuati a scapito di giovani o anziani. Questa accentuazione anomala è una gobba che noi spianeremo

La puntata di “Consumi&Costumi” del 7 Dicembre è disponibile per il download.

Ieri secunia ha pubblicato un advisory riguardante un DoS su l’access point DWL-2000AP di D-Link. E’ disponibile pubblicamente un PoC del DoS.

Solitamente la soluzione a questo genere di problemi è aggiornare il firmware del prodotto. Quando non è disponibile un nuovo firmware è consigliabile spegnere l’apparato quando non viene utilizzato. In questo caso, però Secunia ha pensato bene di dare un nuovo tipo di consiglio:

Solution: Use another product

Sono ammattiti?

L’ISC (Internet Storm Center) di SANS ha da poco rilasciato una news rigurdante una nuova vulnerabilità 0-day presente su Microsoft Word.
Questa vulnerabilità è stata scoperta e classificata da McAfee grazie all’analisi di uno dei sample ricevuti.
Le versioni vulnerabili di Word al problema, in accordo con quanto scritto su MSRC, sono: Word 2000, Word 2002, Word 2003 e Word Viewer 2003.
Sempre su MSRC, Microsoft dichiara:

From the initial reports and investigation we can confirm that the vulnerability is being exploited on a very, very limited and targeted basis.

Il bug in questione non ha niente a che fare con quello scoperto la scorsa settimana.

McAfee ha denominato il bug come “Microsoft Word 0-Day Vulnerability II“

Venerdì primo Dicembre, il sito di social networking MySpace è stato infettato da un worm autoreplicante scritto in Ajax e JavaScript classico. Questo worm infetta i profili degli utente, pubblicizza materiale pornografico e lancia degli attacchi di phishing per rubare username e password agli utenti del network.

MySpace permette ai propri utenti di inserire fimati e altri contenuti multimediali all’interno del proprio profilo. I filmati creati con tecnologia Apple Quicktime supportano una caratteristica chiamata “HREF tracks”, che permette di inserire URL all’interno del filmato stesso. Gli attaccanti hanno creato filmati Quicktime con all’interno Javascript creato ad ad hoc, in modo che al momento dell’apertura esso venisse eseguito.
Quando un utente visualizza la pagina contenente un filmato malizioso, il codice JavaScript al suo interno scarica ed esegue il codice dell’intero worm. Successivamente, il worm utilizza codice Ajax per infettare il profilo dell’utente senza che esso se ne accorga. In più, il worm, inietta codice HTML in modo da poter alterare, non nel look, il menu principale di MySpace. Quando l’utente fa click su un link presente nel menù contraffatto esso viene rediretto verso un sito di phishing che riproduce la maschera di login a MySpace. In questo modo gli autori del worm cercano di rubare username e password degli utenti di MySpace. Come ultima cosa il worm tenta di inviare messaggi instantanei, a utenti di MySpace, contenenti immagini pornografiche e link a siti pornografici. Questi messaggi vengono inviati a 4 utenti a caso di MySpace.

Per maggiori dettagli consiglio la lettura dello studio condotto da SPI Dynamics sul worm che ha interessato MySpace negli ultimimi giorni. SPI ha anche pubblicato i sorgenti del worm scritto in Ajax.
Per maggiori dettagli si vedano anche le advisory sulla manipolazione del menu principale di MySpace e sull’uso di codice JavaScript all’interno di filmati QuickTime.