P4 Werterxyz

23 febbraio 2007

Gravissima falla del filtro anti-phishing ancora presente in Firefox 2.0.0.2

Filed under: Falle di sicurezza — P4 Werterxyz @ 09:40

Mozilla ha rilasciato Firefox 2.0.0.2, ma la falla del filtro anti-phishing, di cui vi ho parlato qui, è ancora presente e non è stata ancora corretta.
Infatti se provate a visitare questo sito web che fa phishing http://www.53.com.bankingportal.id685570994759.nmmi.info/conf/ viene bloccato, ma se aggiungete un numero qualsiasi di caratteri "/" nell’URL per es. http://www.53.com.bankingportal.id685570994759.nmmi.info//////conf/, il filtro antiphishing di Firefox viene ingannato cioè il sito con
le "/" aggiunte NON viene più segnalato, perchè il filtro antiphishing di Firefox NON filtra i caratteri "/" aggiunti prima di controllare il sito e la pagina viene caricata (in altre parole il filtro antiphishing di FF pensa che il sito con i caratteri "/" sia un sito diverso e quindi non ancora segnalato, nonostante quello senza i caratteri "/"aggiunti sia già stato segnalato).

UPDATE 28 Febbraio: se oggi rifate la prova con il sito d’esempio che vi ho dato sopra, il filtro anti-phishing di Firefox lo riconosce perchè qualcuno ha segnalato quel sito con le "/" aggiunte e quindi è stato aggiunto al database anche quello con le "/" aggiunte; ma basta provare con diversi siti di phishing che il filtro anti-phishing di FF riconosce già e poi aggiungere 1 o più caratteri "/" e il filtro anti-phishing di FF viene continuamente fregato cioè il sito con le "/" aggiunte non viene più riconosciuto.
Potete per esempio oggi provare con quest’altro sito http://www.possteitaliane.info/poste/bancopostaonline.poste.it/bpol/cartepre/ che viene correttamente segnalato dal filtro antiphishing di FF (vedi fig. di sinistra), ma se lo si modifica leggermente aggiungendo i caratteri "/" cioè per es. http://www.possteitaliane.info/////poste/bancopostaonline.poste.it/bpol/cartepre/ NON viene più segnalato dal filtro antiphishing di FF (vedi fig. di destra):
 

Meditate gente… Meditate…

Saluti da P4

Annunci

15 febbraio 2007

Gravissima falla di sicurezza in Firefox 2.0.0.1: permette ad un sito maligno di manipolare i cookies di autenticazione di altri siti e rubare dati su una pagina caricata da un sito diverso

Filed under: Falle di sicurezza — P4 Werterxyz @ 12:16

Michal Zalewski ha scoperto una gravissima falla di sicurezza in Firefox 2.0.0.1 che permette a un sito maligno di manipolare i cookies di autenticazione di altri siti (cioè per siti di terze parti) quindi modificare il comportamento di questi altri siti e violare la Same Origin Policy di Javascript cioè è possibile settare o ottenere/rubare dati su una pagina caricata da un sito diverso, o interagire con altri frame e finestre, ecc.

test qui: http://lcamtuf.dione.cc/ffhostname.html

Meditate gente… Meditate…

Saluti da P4

13 febbraio 2007

NEW Patch di sicurezza per Windows XP SP2 – febbraio

Filed under: Windows XP SP2 patch di sicurezza — P4 Werterxyz @ 19:42

Windows XP SP2
1) Aggiornamento della protezione per Windows XP (KB918118)
http://www.microsoft.com/downloads/details.aspx?FamilyID=3159428d-7212-4bf0-9699-3dbae5db6ca1&displaylang=it

2) Aggiornamento della protezione per Windows XP (KB926436)
http://www.microsoft.com/downloads/details.aspx?FamilyID=e9b84661-25e3-4d38-95b1-8d3e7af565aa&DisplayLang=it

3) Aggiornamento della protezione per Windows XP (KB924667)
http://www.microsoft.com/downloads/details.aspx?FamilyID=84ae4c62-89ae-410a-b34b-471e3c09ce98&DisplayLang=it

4) Aggiornamento della protezione per Windows XP (KB928843)
http://www.microsoft.com/downloads/details.aspx?FamilyID=a3700273-d7da-4a60-ba80-c95c8036d670&DisplayLang=it

5) Aggiornamento della protezione per Windows XP (KB928255)
http://www.microsoft.com/downloads/details.aspx?FamilyID=f821b3a0-4e5a-4737-b9bf-1249f6683f4d&DisplayLang=it

6) Aggiornamento della protezione per Windows XP (KB927802)
http://www.microsoft.com/downloads/details.aspx?FamilyID=ce695e0e-938c-4fc6-a9a2-0eb9fc3e5512&DisplayLang=it

7) Aggiornamento della protezione per Internet Explorer 7 per Windows XP Service Pack 2 (KB928090)
http://www.microsoft.com/downloads/details.aspx?FamilyID=ee851efd-2caf-41ce-a423-e1827de318df&DisplayLang=it
NB. IE7 di Windows Vista NON è vulnerabile. Invece in IE7 per WinXP SP2 questa falla è classificata come Importante e occorre comunque che l’utente esplicitamente abiliti questi oggetti ActiveX vulnerabili.

8) Aggiornamento della protezione per Windows XP (KB927779) – MDAC
http://www.microsoft.com/downloads/details.aspx?FamilyID=6b0cdb65-aef4-489f-b917-812d9f7687bd&DisplayLang=it

9) Per quanto riguarda Windows Defender, assicuratevi che l’engine si sia aggiornato alla Versione modulo: 1.1.2101.0. Tale aggiornamento è stato distribuito già da tempo cioè il 25 gennaio.

Office 2003
1) Aggiornamento della protezione per Office 2003 (KB920813)
http://www.microsoft.com/downloads/details.aspx?FamilyID=6c3bcab8-0c99-4be6-8de7-71d463473a4a&DisplayLang=it

2) Aggiornamento della protezione per Word 2003 (KB929057)
http://www.microsoft.com/downloads/details.aspx?FamilyID=882f8503-da72-43c9-b556-a002ec58f289&DisplayLang=it

3) Aggiornamento della protezione per Office 2003 (KB929064)
http://www.microsoft.com/downloads/details.aspx?FamilyID=bb0973e7-275d-4491-9ba1-91eaea84eefd&DisplayLang=it

Visual Studio
Aggiornamento per la protezione di Visual Studio .NET 2003 Service Pack 1 MFC71.DLL
http://www.microsoft.com/downloads/details.aspx?FamilyID=1dd6d8e7-390b-4e02-9f16-ab9d5ef7792e&DisplayLang=it

NB. Da questo momento in poi non mi occupo più di Windows XP perchè già dal 30 gennaio sono passato a Windows Vista. Bye Bye Windows XP, Welcome Windows Vista!

Saluti da P4

8 febbraio 2007

13 febbraio ci aspettano 6 patch di sicurezza per Windows

Filed under: Windows XP SP2 patch di sicurezza — P4 Werterxyz @ 19:54

Il 13 febbraio, Microsoft rilascerà:
– 6 patch di sicurezza per Windows, con livello massimo di severità critico (massimo significa che per almeno 1 di queste è critico; e inoltre dipende anche dalla versione di Windows e/o service pack installati).
– 3 patch di sicurezza per Office. Il livello massimo di severità per queste falle è critico (massimo significa che per almeno 1 di queste è critico; e inoltre dipende anche dalla versione di Office, Windows e/o service pack installati).
– 1 patch di sicurezza per Visual Studio, con livello massimo di severità importante
– 1 patch di sicurezza per Microsoft Live OneCare e Windows Defender, con livello massimo di severità critico

In più, come sempre, ci sarà anche lo Strumento di rimozione malware di febbraio

Stay Tuned!

Saluti da P4

7 febbraio 2007

Gravissima falla di sicurezza in Firefox 2.0.0.1 permette di bypassare il filtro Antiphishing

Filed under: Falle di sicurezza — P4 Werterxyz @ 09:57

E’ stata scoperta una gravissima falla di sicurezza in Firefox 2.0.0.1 che permette di bypassare il filtro Antiphishing rendendolo totalmente inutile. Infatti è sufficiente aggiungere uno o più caratteri "/" alla fine del dominio nell’URL (oppure anche dopo), per far si che il filtro antiphishing venga ingannato cioè non segnali più che quel sito è un sito che fa phishing (la pagina viene tranquillamente aperta e il filtro antiphishing non riesce a rilevare che è un sito che fa phishing a causa del carattere "/" aggiunto).

Potete provare a visitare questo sito che fa phishing, a cui è stato aggiunto il carattere "/" per ingannare il filtro antiphishing di Firefox:
http://202.64.93.106/www.paypal.com//cgi-bin/webscr_cmd=_login-run2652/ (vedi fig. di sinistra)
oppure anche http://202.64.93.106//www.paypal.com/cgi-bin/webscr_cmd=_login-run2652/
Se invece si toglie il carattere "/", il filtro Antiphishing di Firefox lo segnala correttamente come sito che fa phishing:
http://202.64.93.106/www.paypal.com/cgi-bin/webscr_cmd=_login-run2652/ (vedi fig. di destra)

 

UPDATE 9 febbraio: se rifate la prova oggi aggiungendo il "/" al sito che ho indicato, viene segnalato dal filtro antiphishing di Firefox, perchè qualcuno ha segnalato quel sito con la "/" aggiunta come sito fraudolento; ma basta aggiungere un numero qualsiasi a piacere di caratteri "/" che lo freghi di nuovo (mentre con IE7 non lo freghi mai perchè IE7 filtra gli eventuali "/" aggiunti, prima di controllare il sito, cioè IE7 NON è vulnerabile).
Per esempio ora aggiungo una sfilza a caso di caratteri "///////" e frego nuovamente il filtro Antiphishing di Firefox:
http://202.64.93.106/www.paypal.com////////cgi-bin/webscr_cmd=_login-run2652/

http://kaneda.bohater.net/security/20070111-firefox_2.0.0.1_bypass_phishing_protection.php
Il bug è stato scoperto il 9 gennaio 2007, segnalato su bugzilla il 19 gennaio, ma oggi è il 7 febbraio e Mozilla NON ha ancora rilasciato una nuova versione di Firefox per correggere questa gravissima falla di sicurezza.

Anche il filtro antiphishing di Opera 9.10 risulta bypassabile nello stesso modo.

UPDATE 24 febbraio: Firefox 2.0.0.2 risulta ancora vulnerabile cioè la falla non è ancora stata corretta.

Meditate gente… Meditate…

Saluti da P4

4 febbraio 2007

I/O con priorità e utilità di deframmentazione dischi di Vista

Filed under: Windows Vista — P4 Werterxyz @ 14:39

Nel kernel di Windows Vista sono stati introdotti gli I/O con priorità e cioè ogni processo o thread che accede agli I/O (quindi all’hard disk, alla rete, ecc.) può avere una priorità diversa.
L’utilità di deframmentazione dischi di Vista sfrutta questa feature cioè il processo che esegue la deframmentazione è stato settato con una priorità di I/O bassa, in questo modo non interferisce con le altre attività del disco, inoltre viene anche regolata la velocità in termini di KB/s cioè diminuita/aumentata a seconda del carico (CPU e I/O throttling).
Come conseguenza di ciò, si ha che quasi non ci si accorge che il disco si sta deframmentando mentre l’utente sta usando altre applicazioni, cioè tutte le altre applicazioni che devono accedere al disco non vengono rallentate e sono più pronte a rispondere perchè hanno una priorità maggiore sugli accessi al disco (e in generale agli I/O).
In questa ottica in cui la deframmentazione viene eseguita con priorità bassa non è possibile predirne la sua fine con precisione, perchè la sua fine chiaramente dipende dalle attività che l’utente sta facendo (o da quelle che farà cioè da quelle future), che sono più prioritarie, e quindi mostrare una percentuale del completamento non avrebbe alcun senso perchè la stima sarebbe non accurata. Altra motivazione per cui l’utilità di deframmentazione dischi di Vista non ti fa vedere i blocchi grafici, è che la deframmentazione in Vista non viene mai fatta al 100%, cioè non tutti i blocchi (frammenti) vengono deframmentati perchè unire 2 blocchi più grandi di 64MB per NTFS è poco vantaggioso, non guadagni in performance, rispetto invece al prezzo molto maggiore che si dovrebbe pagare per spostarli.
Poi francamente stare incollati al monitor per guardare dei blocchi che si muovono non ha alcun senso, meglio che la deframmentazione sia il meno invasiva possibile e che richieda meno risorse possibili, quindi NO GUI.
Il bello della deframmentazione che c’è in Vista è proprio questo, che non ti devi preoccupare di nulla, fa tutto lui cioè viene schedulata in automatico e non pesa.

Un’altra cosa interessante da segnalare è che, se necessario, viene automaticamente deframmentata anche la Master File Table (MFT).
Se si usa il defrag dal prompt dei comandi (cmd -> Esegui come amministratore) è possibile eseguire l’analisi della frammentazione che mostra la percentuale di frammentazione cioè quanto è frammentato il disco (defrag c: -a) oppure eseguire la deframmentazione completa anche dei frammenti maggiori di 64MB (defrag c: -w), ecc. Per conoscere tutte le opzioni digitare il comando defrag /?

Altri componenti di Vista che usano gli I/O con priorità sono: la funzione di indicizzazione di Windows Search, la scansione dei file con Windows Defender, la riproduzione di video per garantire una velocità adeguata (QoS), anche gli antivirus possono avvantaggiarsene per scansionare a low I/O priority, è usata anche dal SuperFetch per precaricare in anticipo pagine di memoria, ad una velocità di pochissime pagine al secondo, senza che le altre applicazioni ne risentino cioè a low I/O priority, ecc.

Conclusione: non giudicate l’Utilità di deframmentazione dischi di Vista dalla sola apparenza, perchè una volta capito "cosa c’è dietro" a queste scelte cioè le ragioni tecniche sopracitate, si può senza dubbio apprezzare quanto sia stata spaventosamente bene implementata.

Saluti da P4

3 febbraio 2007

NEW Windows Defender – Finale – Italiano – v1.1.1593.0

Filed under: Antivirus — P4 Werterxyz @ 20:02


Finalmente è stata rilasciata la versione finale di Microsoft Windows Defender in italiano per Windows XP SP2, che difende da spyware e altro software indesiderato.  

Download qui:
http://www.microsoft.com/downloads/details.aspx?FamilyID=435bfce7-da2b-4a6a-afa4-f7f14e605a0d&DisplayLang=it

Download diretto qui:
http://download.microsoft.com/download/3/4/3/3430bab7-1a7f-4120-a44c-abfeb863dc8c/WindowsDefender.msi

Per ricevere tutti gli avvisi, cioè per fare in modo che Windows Defender rilevi tutte le modifiche che avvengono nel sistema anche da
parte di software non classificato è necessario andare in Strumenti —> Opzioni e spuntare le caselline Software non ancora classificato in relazione ai potenziali rischiModifiche apportate al computer da software di cui è stata consentita l’esecuzione in Specificare se ricevere notifiche da Windows Defender per:

Vi ricordo inoltre che WD si integra con IE e OE cioè è in grado di fare la scansione automatica dei file che vengono scaricati da IE e controlla anche gli allegati di posta di OE, prima che vengano aperti.

Saluti da P4

2 febbraio 2007

Gravissima falla di sicurezza in Office 2003: esecuzione di codice arbitrario

Filed under: Falle di sicurezza — P4 Werterxyz @ 16:29

E’ stata scoperta una nuovissima e gravissima falla di sicurezza in Office 2003 (e versioni inferiori) che potrebbe permettere l’esecuzione di codice arbitrario, quando un utente apre un file .xls maligno appositamente creato ad hoc.
http://www.microsoft.com/technet/security/advisory/932553.mspx

Si consiglia di NON aprire documenti .xls da Internet o che ricevete via e-mail se non siete sicuri della loro provenienza e se non li avete richiesti.

Chi usa l’antivirus Microsoft Windows Live OneCare risulta già protetto dai questi malware che tentano di exploitare questa nuova falla di sicurezza.

Saluti da P4

Blog su WordPress.com.