La società di sicurezza Finjan ha pubblicato due giorni fa un articolo che fa luce su un pericoloso quanto imbarazzante problema nella blacklist di siti phishing di Google.
Secondo quanto spiegato da Finjan, l’estensione antiphishing di Google, la quale permette la segnalazione di siti sospetti da parte degli utenti, ha inavvertitamente raccolto e reso pubblici gli id di sessione e alcuni indirizzi email e password.
Ciò è accaduto perchè utenti, non molto esperti, hanno segnalato il sito al database solo dopo essere caduti nella “rete dei pescatori”. E’ chiaro, quindi, che Google è solo responsabile di non aver controllato che le url inserite nel database non contenessero le username e password di ignari utenti.
Google, dopo la segnalazione di Finjan a Gennaio, ha provveduto ad eliminare (non poteva togliere la query string?) dal proprio database antiphishing tutti gli URL contenenti dati che potevano essere utilizati per scopi non leciti.
E’ stata anche rilasciata una nuova versione della toolbar in grado di togliere dall’url eventuali query string.
Nel JRE (Java Runtime Environment), la macchina virtuale di Sun necessaria per far girare le applet e le applicazioni Java, è stata scoperta una vulnerabilità che mette a serio rischio gli utenti Web.
Il problema deriva da un buffer overflow nel JRE causato da una errata gestisce delle immagini GIF. Attraverso la creazione di una speciale immagine malformata, un aggressore può riuscire ad eseguire una applet Java con i massimi privilegi, inclusa, quindi, anche la manipolazione di file locali.
Per riuscire nell’attacco però deve essere l’utente a vistare un sito appositamente creato; ma oramai non è difficile nascondere iframe creati appositamente.
Sebbene la falla sia stata resa pubblica solo di recente da Zero Day Initiative, la sua correzione risale allo scorso dicembre: le versioni non vulnerabili di JRE sono la 5.0 Update 10, la 1.4.2_13, e la 1.3.1_19 e l’ultima versione 6. Per verificare quale versione di JRE sia installata nel proprio sistema, è possibile seguire le istruzioni, contenute nella parte finale, dell’advisory di Sun.
MOAB ha rilasciato un nuovo bug, sempre riguardate un URL handler, ma questa volta sul protocollo UDP di VideoLan.
Il bug, denominato “VLC Media Player udp:// Format String Vulnerability”, è causato dalla mancata validazione della stringa passata a VLC tramite l’handler udp://. Utilizzando una stringa creata ad arte è possibile eseguire comandi arbitrari con i privilegi dell’utente con il quale si è eseguito VideoLan.
Le piattaforme interessante dal problema sono Microsoft Windows e Mac OS X con VLC versione 0.8.6 o inferiore. E’ comunque molto probabile che anche le altre piattaforme siano interessante dal problema.
L’unico workaround possibile al momento è la disabilitazione dell’URL handler UDP e la dismissione di VLC per stream udp://.
Il “the Month of Apple Bugs” è partito ufficialmente.
Il primo bug segnalato è relativo all’URL handler RTSP di QuickTime, il quale permette l’esecuzione di codice arbitrario, a causa di un buffer overflow, sia su Windows che su Mac OS X.
Le versioni interessate dal problema sono QuickTime™ Version 7.1.3, Player Version 7.1.3 e precedenti.
Il PoC rilasciato nelle note dell’advisory è in grado di ritornare una shell grazie all’apertura di un file QTL preparato ad arte.
E’ consigliato, in quanto unico workaround possibile per ora, disabilitare il supporto diretto per stream RTSP in QuickTime.
Nella versione per Windows il supporto a RTSP si trova nella voce “Streaming – Streaming movies” della linguetta “File Type” nel menu delle preferenze. In Mac OS X, invece, si trova in System Preferences -> QuickTime -> Advanced -> MIME Settings -> Streaming – Streaming Movies.
Grazie a ISC per la procedura di disabilitazione per Mac OS X.
Aggiornamento: in Mac OS X non è sufficente disabilitare l’opzione come suggerito sopra, ma è necessario bloccare l’handler a runtime. E’ quindi necessario installare un applicativo di terze parti.
