PDA

Visualizza versione completa : Security Google scova falle in Windows XP



janet
11-06-10, 18: 35
http://img252.imageshack.us/img252/3733/76725842.jpgUn ricercatore di sicurezza che lavora per Google ha identificato una vulnerabilità potenzialmente grave nel componente Windows Help and Support Center (Guida in linea e supporto tecnico, helpctr.exe) di Windows XP e Windows Server 2003. Più nel dettaglio, il problema è legato ad un bug di tipo cross-site scripting nella gestione degli URI (Universal Resource Identifier) hcp://: questa debolezza potrebbe essere sfruttata da un malintenzionato per aggirare i controlli di sicurezza di helpctr.exe e, per mezzo di un link maligno, eseguire uno script o un programma con gli stessi privilegi dell'utente.

Microsoft ha confermato l'esistenza della falla nell'advisory 2219475, dove precisa di non essere a conoscenza di attacchi in atto. Ma potrebbe essere solo questione di tempo: Tavis Ormandy, lo scopritore della falla, ha infatti divulgato tutti i dettagli del bug, compreso il codice di un exploit dimostrativo. Il ricercatore britannico ha corredato il proprio advisory di un fix temporaneo, ma come spiegato da Microsoft, e come poi ammesso dallo stesso Ormandy, questo workaround manca di risolvere il problema all'origine: di conseguenza può essere facilmente bypassato.

In attesa che venga rilasciata una patch ufficiale, Microsoft suggerisce ai propri utenti di applicare il workaround descritto nel suo advisory e in questo post: il suo scopo è quello di disattivare il protocol handler hcp:// così che i link di questo tipo non vengano più gestiti dal sistema. Così facendo, avverte BigM, si compromette però la funzionalità dell'Help di Windows.


Microsoft ha spiegato che l'exploit proof-of-concept scritto da Ormandy funziona esclusivamente con Windows XP, mentre è inefficace con Windows Server 2003: al momento l'azienda sostiene di non essere ancora riuscita a trovare un modo per sfruttare con successo la falla sotto questo sistema operativo.

Microsoft ha criticato Ormandy per averle segnalato il problema con soli cinque giorni di anticipo rispetto alla sua divulgazione pubblica. Il gigante di Redmond ha poi aggiunto che il fix non ufficiale rilasciato dal ricercatore di Google può fornire agli utenti un falso senso di sicurezza, aggravando la situazione. "(...) Lascio a voi commentare come si possa giudicare l'operato di Google al riguardo" ha chiosato Feliciano Intini, responsabile dei programmi di sicurezza e privacy di Microsoft Italia, in questo post.

Per altri approfondimenti sulla vulnerabilità si rimanda ai post pubblicati da Microsoft sui blog MSRC e SR&D, e a questo post di Secunia.
articolo (http://punto-informatico.it/2912069/PI/News/google-scova-falle-windows-xp.aspx)
Di Alessandro Del Rosso
Fonte http://punto-informatico.it/
http://creativecommons.org/licenses/by-nc-sa/2.5/it/

MarcoStraf
11-06-10, 19: 24
Questa e' una grossa notizia.

Tavis Ormandy, il ricercatore di Google che ha trovato la falla, la riporto' prima a Microsoft ma poi anche pubblicamente senza aspettare che Microsoft uscisse con una patch. Questo va contro le norme di etichetta in uso tra gli sviluppatori e ricercatori. Ormandy ha dichiarato di avere agito per se' stesso e non lavorando per Google, e Google lo ha confermato ufficialmente senza pero' dire se l'azione del suo dipendente fosse considerata sbagliata o meno.
La blogosfera e' impazzita a riguardo, con persone che si schierano da una parte o dall'altra, Ormandy ha dischiarato che se non rendeva la notizia pubblica Microsoft non avrebbe agito. Ovviamente la gente ci sa speculando su, specie perche' ultimamente le acque non sono molto calme tra la California e Washington (gli stati dove Google e Microsoft hanno il quartiere generale) Anche se Ormandy avesse agito da solo, c'e chi dice che Google se ne stia approfittando per screditare ancora una volta Microsoft. Mentre Microsoft se la ride del fiasco di Google con il mettere una foto nel background del suo motore di ricerca, copiando spudoratamente Bing.

Una delle molti fonti:
http://news.cnet.com/8301-27080_3-20007421-245.html

wrongway
11-06-10, 22: 47
M$ ha rilasciato il fixit provvisorio in attesa della patch (andrà quindi poi disabilitato prima di applicarla):
http://support.microsoft.com/kb/2219475/en-us/

Thund3r
12-06-10, 02: 02
Fiero di usare Unix.

wrongway
12-06-10, 20: 04
comunque dal tono, quello o ha sbroccato, o ha litigato con qualcuno della m$
http://archives.neohapsis.com/archives/fulldisclosure/2010-06/0197.html

Microsoft was informed about this vulnerability on 5-Jun-2010, and they
confirmed receipt of my report on the same day.

Protocol handlers are a popular source of vulnerabilities, and hcp:// itself
has been the target of attacks multiple times in the past. I've concluded that
there's a significant possibility that attackers have studied this component,
and releasing this information rapidly is in the best interest of security.

Those of you with large support contracts are encouraged to tell your support
representatives that you would like to see Microsoft invest in developing
processes for faster responses to external security reports.

...

I would like to point out that if I had reported the MPC::HexToNum() issue
without a working exploit, I would have been ignored.

Without access to extremely smart colleagues, I would likely have given up,
leaving you vulnerable to attack from those who just want root on your network
and do not care about disclosure policies.

This is another example of the problems with bug secrecy (or in PR speak,
"responsible disclosure"), those of us who work hard to keep networks safe are
forced to work in isolation without the open collaboration with our peers that
we need, especially in complex cases like this, where creative thinking and
input from experts in multiple disciplines is required to join the dots.
...

Finally, a reminder that this documents contains my own opinions, I do
not speak for or represent anyone but myself.
fino all'altro giorno era andato a braccetto con la m$
queste sono le falle che sono state tappate (anche) grazie a lui (la m$ lo ringrazia)

http://www.microsoft.com/technet/security/Bulletin/MS10-021.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-015.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-001.mspx
http://www.microsoft.com/technet/security/Bulletin/MS09-065.mspx
http://www.microsoft.com/technet/security/Bulletin/MS09-062.mspx
http://www.microsoft.com/technet/security/Bulletin/MS09-058.mspx
http://www.microsoft.com/technet/security/Bulletin/MS09-029.mspx