P4 Werterxyz

29 marzo 2007

Gravissima falla di sicurezza in Windows: esecuzione di codice arbitrario da remoto mediante file .ani

Filed under: Falle di sicurezza — P4 Werterxyz @ 20:10

E’ stata scoperta una gravissima falla di sicurezza in Windows che permette di eseguire codice arbitrario da remoto mediante file .ani (cursori animati), quando un utente visualizza una pagina web contenente un file .ani appositamente creato ad hoc oppure quando visualizza un messaggio e-mail in formato HTML o mediante allegati contenenti file .ani. Il codice arbitrario viene eseguito con gli stessi privilegi dell’utente attualmente loggato.
E’ già stato scoperto un trojan che sfrutta questa falla di sicurezza; gli utenti che usano l’antivirus Microsoft Windows Live OneCare sono già protetti da questo trojan che sfrutta questa nuova vulnerabilità.
Chi usa IE7 su Windows Vista è al sicuro dagli eventuali siti web che tentano di sfruttare questa falla di Windows, dato che IE7 su Windows Vista esegue in Modalità protetta
, di default. 
http://www.microsoft.com/technet/security/advisory/935423.mspx

Vi ricordo che la Modalità protetta di IE7 su Windows Vista fa si che IE7 esegue con Livello d’Integrità basso ovvero con privilegi ancora minori rispetto alle normali applicazioni d’utente e quindi IE7 NON può scrivere file al di fuori della cartella dei File temporanei Internet (quindi un eventuale exploit che sfrutta una vulnerabilità del browser o di un add-on o di Windows per installare del malware attraverso IE7, NON può funzionare perchè ha accesso negato in scrittura, e non può nemmeno danneggiare o modificare i file dell’utente) e non può nemmeno modificare altri processi che hanno un livello d’integrità superiore, non può modificare il registro di Windows, inoltre non gli è permesso di eseguire file o applicazioni esterni senza l’autorizzazione dell’utente perchè i file/applicazioni esterni sono oggetti che hanno un livello d’integrità più alto rispetto a IE7.
Altro fattore che mitiga la pericolosità di questa falla, è il fatto che gli utenti di Windows Vista, grazie allo UAC (Controllo Account Utente), sono di default utenti Standard e non amministratori e quindi gli utenti (e le applicazioni da essi eseguite) hanno il minimo indispensabile dei privilegi e quindi un malware o un programma qualunque non può installarsi nel sistema operativo o compiere operazioni amministrative senza l’autorizzazione dell’utente.

Si consiglia di leggere i messaggi e-mail in testo normale e non in formato HTML e ovviamente di non aprire allegati non espressamente richiesti

Anche gli utenti che usano Firefox sono attaccabili via web da questa falla di sicurezza di Windows, perchè Firefox utilizza le API di Windows per gestire i file ANI
"Determina also discovered that under certain circumstances Mozilla Firefox uses the same underlying Windows code for processing ANI files, and can be exploited similarly to Internet Explorer"
Alexander Sotirov
Determina Security Research.
Ecco il video che mostra come anche Firefox 2 sia attaccabile via web dalla falla degli ANI, con la differenza che Firefox 2 NON ha la modalità protetta su Vista e quindi Firefox risulta molto meno sicuro di IE7, dato che nel caso di Firefox l’exploit può scrivere file sul file system dell’utente vittima mentre con IE7 no grazie alla modalità protetta:
http://determina.blogspot.com/2007/04/exploiting-vista-with-ani.html

Meditate gente… Meditate…

UPDATE 3 Aprile: Microsoft ha rilasciato su Windows Update la patch per correggere questa falla degli ANI

Saluti da P4 

Annunci

24 marzo 2007

Vantaggi di Aero e del nuovo modello di driver grafico WDDM di Windows Vista

Filed under: Windows Vista — P4 Werterxyz @ 15:14

Aero di Windows Vista, non è solo bello da vedere, ma sotto ad Aero in Windows Vista c’è una nuova architettura e un nuovo modello di driver per le schede grafiche, chiamato Windows Display Driver Model (WDDM).

In Windows XP, i driver per le schede grafiche avevano 2 componenti principali, uno per la grafica 3D e uno per il 2D per disegnare il desktop di Windowsin Windows Vista, invece, non c’è più bisogno di un driver grafico per il 2D poichè il desktop di Windows Vista è ora accelerato 3D e quindi per disegnare le finestre del desktop non vengono più usate le vecchie GDI, ma le API Direct3D.

I driver delle schede grafiche sono divisi in 2 parti, la parte che lavora nello spazio del Kernel del sistema operativo, e quella che lavora nello spazio d’Utente. La parte del driver che lavora nello spazio del Kernel interagisce direttamente con l’hardware cioè con la scheda grafica e quindi un errore in quella parte di driver può causare un errore nel sistema operativo che potrebbe poi portare ad un crash del PC cioè del sistema. La parte di driver che lavora nello spazio d’Utente si trova al livello applicativo e non ha accesso diretto all’hardware ed è quindi isolato dal sistema operativo e come conseguenza di ciò, risulta più stabile e sicuro.
In Windows XP la maggior parte dei sottocomponenti del driver grafico erano nello spazio del Kernel cioè il driver Direct3D per la grafica 3D, il driver per la grafica 2D del Desktop e quello per l’accelerazione dei video ad alta definizione DirectX Video Acceleration (DXVA), erano tutti nello spazio del kernel e quindi un errore nel driver grafico in Windows XP poteva provocare un crash del sistema.
In Windows Vista, invece, grazie al nuovo modello di driver WDDM, il driver Direct3D (e anche OpenGL) per la grafica 3D che ora gestisce anche il Desktop e il driver DXVA sono tutti nello spazio d’utente e quindi isolati dalla parte di driver che lavora nel kernel e dall’hardware. Più precisamente Windows Vista carica un piccolo driverino nello spazio d’Utente per ogni applicazione (cioè finestra) che l’utente esegue sul desktop, in modo che se quell’applicazione o quel piccolo driverino fa qualcosa di illegale e causa un errore, solo quella singola finestra verrà chiusa, lasciando intatte le altre applicazioni che si trovano sul desktop.

Il nuovo modello di driver grafico WDDM presente in Windows Vista ha anche la capacità di evitare i crash di sistema, quelli causati da errori nella parte di driver che lavora nel kernel o causati da errori hardware, reinizializzando il driver grafico senza dover riavviare Windows e quindi evita la comparsa delle schermate blu e il blocco del sistema. In Windows XP invece un errore nel driver della scheda grafica o un errore hardware causava la comparsa di una schermata blu e il blocco del sistema e quindi un riavvio di Windows.

Il Desktop Windows Manager (DWM) di Windows Vista si occupa di disegnare o meglio comporre le finestre; uno dei benefici nell’avere un desktop accelerato 3D è che ogni finestra è considerata come una superficie indipendente, permettendo all’utente di muovere una finestra, senza che Windows debba ridisegnare tutte le finestre sottostanti e quindi si ha un minore calcolo computazionale. In Windows XP invece l’intero desktop e quindi tutte le sue finestre sono trattate come una singola superficie 2D e quindi lo spostamento di una finestra richiede il ridisegno di tutte le finestre che si trovano nell’area interessata da quello spostamento, causando quel tipico effetto a scatti dovuto al continuo ridisegno di aree di finestre.

Un altro vantaggio del nuovo modello di driver WDDM è che il sistema operativo non deve essere riavviato dopo l’installazione o l’aggiornamento dell’ultima versione del driver della propria scheda grafica.

Un altro cambiamento è la gestione della memoria grafica che non deve più essere gestita dal driver della scheda grafica ma viene gestita dal sistema operativo Windows Vista e quindi permette al driver della scheda grafica di lavorare alla massima efficienza possibile.

Il WDDM ha anche capacità di scheduling ossia di gestire le priorità fra le finestre grafiche e il carico di lavoro della GPU della scheda grafica, organizzando il flusso di lavoro della GPU nella maniera più efficiente possibile fra tutte le applicazioni in esecuzione sul desktop.

Saluti da P4

21 marzo 2007

Gravissima falla del filtro anti-phishing ancora presente in Firefox 2.0.0.3

Filed under: Falle di sicurezza — P4 Werterxyz @ 19:44

Mozilla ha rilasciato Firefox 2.0.0.3, ma la falla che permette di bypassare il filtro Antiphishing rendendolo totalmente inutile, di cui vi ho parlato qui e qui, è ancora presente e NON è stata ancora corretta, nonostante sia nota sin dal 9 gennaio 2007.
Infatti se provate a visitare questo sito web che fa phishing http://tech.tradecold.ru/online/personale/login-home.fcc/33554433&REALMOID/login-home.html viene bloccato (vedi fig. di sinistra), ma se aggiungete un numero qualsiasi di caratteri "/" nell’URL per es. http://tech.tradecold.ru////online/personale/login-home.fcc/33554433&REALMOID/login-home.html, il filtro antiphishing di Firefox viene ingannato cioè il sito con le "/" aggiunte NON viene più segnalato (vedi fig. di destra), perchè il filtro antiphishing di Firefox NON filtra i caratteri "/" aggiunti prima di controllare il sito e la pagina viene caricata (in altre parole il filtro antiphishing di FF pensa che il sito con i caratteri "/" sia un sito diverso e quindi non ancora segnalato, nonostante quello senza i caratteri "/"aggiunti sia già stato segnalato).

Meditate gente… Meditate…

Saluti da P4

Gravissime falle di sicurezza in OpenOffice 2.1: esecuzione di codice arbitrario mediante l’apertura di documenti ed esecuzione di comandi di shell arbitrari mediante apertura di link

Filed under: Falle di sicurezza — P4 Werterxyz @ 10:19

Sono state scoperte 2 gravissime falle di sicurezza in OpenOffice 2.1, la prima è causata da un cattivo parsing in Calc che genera uno stack overflow e permette di eseguire codice arbitrario, quando un utente apre un documento appositamente creato ad hoc. La seconda falla permette di eseguire comandi di shell arbitrari, quando un utente clicka all’interno di un documento OpenOffice su un link appositamente creato ad hoc.

http://www.frsirt.com/english/advisories/2007/1032
http://www.securityfocus.com/bid/22812

Al momento in cui scrivo NON è disponibile alcuna patch di sicurezza.

Interessante sottolineare anche che ci è voluto ben 3 mesi di tempo per correggere una terza falla, nella libreria libwpd usata da OpenOffice 2.1, che permetteva di eseguire codice arbitrario all’apertura di un documento WordPerfect appositamente creato ad hoc:
VIII. DISCLOSURE TIMELINE
01/11/2007 Initial vendor notification
01/12/2007 Initial vendor response
03/16/2007 Coordinated public disclosure
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=490

Alla faccia di chi dice che il software Open Source rilascia le patch in pochissimi giorni!

Meditate gente… Meditate…

Saluti da P4

7 marzo 2007

NEW Aggiornamento per Visual Studio 2005 SP1: pieno supporto alle nuove features di Windows Vista

Filed under: Windows Vista — P4 Werterxyz @ 09:09

Microsoft ha rilasciato un aggiornamento per Visual Studio 2005 SP1 per offrire un pieno supporto alle nuove features di Windows Vista, in particolare per supportare pienamente lo UAC, il nuovo stack di rete e l’interfaccia grafica Aero.

Download qui:
http://www.microsoft.com/downloads/details.aspx?FamilyID=90e2942d-3ad1-4873-a2ee-4acc0aace5b6&DisplayLang=it

Saluti da P4

6 marzo 2007

Gravissime falle di sicurezza in Apple QuickTime 7.1.4: esecuzione di codice arbitrario da remoto

Filed under: Falle di sicurezza — P4 Werterxyz @ 11:14

E’ stata rilasciata la nuova versione di Apple QuickTime 7.1.5 che corregge diverse gravissime falle di sicurezza in QuickTime 7.1.4 e precedenti (sia in Mac OS X che Windows), che permettono di eseguire codice arbitrario da remoto mediante file video, audio, o immagini appositamente creati ad hoc.

http://www.securityfocus.com/bid/22827/discuss

Chi usa QuickTime Alternative nei prossimi giorni dovrà scaricarsi la nuova versione che contiene il motore aggiornato di QuickTime 7.1.5

Saluti da P4

1 marzo 2007

Test degli Antivirus – febbraio 2007

Filed under: Antivirus — P4 Werterxyz @ 11:49

Ecco la classifica degli antivirus di febbraio 2007 (percentuale più alta significa, maggior numero di virus riconosciuti):

1) AntiVirusKit (AVK) v17.0.6254 (99,45%)
2) TrustPort AV WS v2.5.0.957 (99,36%)
3) AntiVir PE Premium v7.03.01.34 (98,85%)
4) F-Secure Anti-Virus v7.01.128 (97,91%)
5) eScan Anti-Virus v8.0.671.1 (97,89%)
6) Kaspersky AV v6.0.2.614 (97,89%)
7) Norton Anti-Virus v14.0.0.89 (96,83%)
8) NOD32 Anti-Virus v2.70.23 (96,71%)
9) AVG Anti-Malware v7.5.441 (96,37%)
10) BitDefender Prof.+ v10 (96,11%)
11) FortiClient v3.0.308 (93,99%)
12) Avast! Professional v4.7.942 (93,86%)
13) NormanVirusControl v5.82 (93,63%)
14) F-Prot Anti-Virus v6.0.5.1 (93,27%)
15) McAfee VirusScan v11.1.124 (91,63%)
16) Dr. Web v4.33.5.10110 (89,27%)

Naturalmente percentuali molto vicine fra di loro sono poco significative, quindi è bene valutare i prodotti che hanno una distanza maggiore fra di loro, quindi vengono raggruppati su 3 gruppi che identificano il livello di certificazione superato: ADVANCED+, ADVANCED e STANDARD.

Maggiori dettagli qui:
http://www.av-comparatives.org/seiten/comparatives.html

Blog su WordPress.com.