Archive for the ‘Security’ Category

Opera "Content-Length" Processing Buffer Overflow Vulnerability – Advisories

lunedì, marzo 8th, 2010

A quanto pare la nuova versione del browser norvegese (10.50, ma in generale 10.X) sarebbe affetta da una vulnerabilità, scoperta da Marcin Ressel, che permetterebbe ad un sito “untrusted” di eseguire del codice malevolo grazie ad un exploit causato dalla non corretta gestione della response HTTP a particolari request assemblate ad hoc e contenenti header “Content-Length” a 64bit.

Opera Software, in queste ultime ore, ha cercato di mitigare il problema (http://www.theregister.co.uk/2010/03/05/opera_vulnerability/) rispondendo che da una analisi effettuata risulterebbe difficilissimo o praticamente impossibile eseguire del codice jittato dinamicamente in memoria grazie alla funzionalità DEP dei sistemi operativi Windows.

Il problema però è che DEP non è abilitato di default su WinXP e Vista; inoltre molti utenti decidono di disabilitarlo perchè in alcuni scenari l’overhead di DEP non è certo trascurabile.

Il mio consiglio è comunque di tenere sempre abilitati UAC e DEP, sfruttando dove è necessario la possibilità di escludere un singolo o un gruppo di eseguibili dal monitoraggio.

Opera "Content-Length" Processing Buffer Overflow Vulnerability – Advisories – Community

Tags: , , , , , , ,
Posted in Browsers, Security, Windows | No Comments »

Windows Installer Errori 2738 e 2739

domenica, luglio 8th, 2007

Windows Installer permette tramite le Window Script custom actions di lanciare script JScript o VBScript durante un setup. In generale, l’utilizzo di questa tecnica dovrebbe essere evitato proprio perchè le custom actions sono difficili da debuggare e la maggior parte delle volte vengono bloccate dagli engines dei software antivirus e antispyware.

Ultimamente, tentando di installare Apple Safari su Windows Vista, sono incappato nell’errore 2738 del servizio Windows Installer; altre volte, con altri setup Windows Installer, nel 2739.

Ecco il significato di questi errori :

Praticamente, per una questione di sicurezza, Windows Installer non fa il loading dei due engines script, non permettendo quindi l’esecuzione di codice JScript e VBScript.

La soluzione sta nell’usare regsvr32, dal prompt dei comandi aperto con privilegi di amministratore,  per registrare le due dll dei rispettivi runtime.

Su Window Vista 32 bit le dll da registrare sono :

mentre sulle versioni a 64 bit :

Posted in Security, Windows, Windows Vista | 13 Comments »

IE7 e ActionScript. Problema con getURL()

martedì, gennaio 9th, 2007

Oggi mi sono accorto che un impostazione di sicurezza presente per default sul browser Internet Explorer 7 non permette il corretto funzionamento della routine di redirect getURL di ActionScript.
Provando a lanciare il getURL(“http://miaurl/file.zip”,”_blank”) su un qualsiasi evento, Internet Explorer apre correttamente una nuova finestra _blank per poi richiuderla in modo quasi istantaneo.
Testando lo stesso scenario su Firefox e verificato il corretto funzionamento (dovrebbe infatti apparire la classica schermata per il save as di un file) ho dedotto che si trattasse o di un incompatibilità del player flash con IE7 o di un impostazione di sicurezza troppo restrittiva.
L’errato comportamento si manifesta per qualsiasi file con MIME type diverso da html.

Le soluzioni al problema possono essere :

Tuttavia considero questa soluzione molto palliativa visto che non ho trovato riferimenti in rete (sia macromedia, sia microsoft) che spiegassero il perchè di questa scelta.
La cosa strana è che con Maxthon, che utilizza lo stesso engine di IE, tutto funziona correttamente, proprio perchè l’opzione di security di cui sopra risulta abilitata di default.

Posted in Security | No Comments »

IE7, Windows Injection e Popup address bar spooofing : possiamo considerarle realmente delle vulnerabilità?

giovedì, novembre 2nd, 2006

In quest ultima settimana Secunia, società che si occupa di sicurezza, ha pubblicato sul portale secunia.com due advisories relativi a Internet Explorer 7.

Il primo (Internet Explorer 7 Popup Address Bar Spoofing Weakness) descrive di un problema che permetterebbe di mostrare finestre di popup con la URL riportata nella barra indirizzi di IE7 non corrispondente a quella reale (utilizzabile soprattuto per attacchi di phishing).
Ecco il codice per il testing della “vulnerabilità” implementato da Secunia :

<script language=”JavaScript“>
function StartTest()
{
var padding = ”;
for ( i=0 ; i<108 ; i++)
{
  padding += unescape(“%A0“);
}
newWindow = window.open(““, “Win“, “width=500,height=325,scrollbars=yes“);
newWindow.moveTo( (screen.width-325) , 0 );
newWindow.document.location = “/result_22542/?” + unescape(“%A0“) + unescape(“%A0“) + “http://www.microsoft.com/“+padding;
document.location = “http://www.microsoft.com/windows/ie/default.mspx“;
}
</script>

Come possiamo notare, non fa altro che settare la proprietà location dell’oggetto document, della popup appena aperta, con una stringa creata appositamente per lasciare la URL da aprire intatta, ma mostrarne un altra nella barra degli indirizzi.
Come è possibile tutto ciò? Beh con un procedimento che risulta a mio avviso  macchinoso e carente proprio ai fini dell’attacco (qualsiasi utente medio si accorgerebbe dell’artefatto).
Allora,

newWindow.document.location = “/result_22542/?” + unescape(“%A0“) + unescape(“%A0“) + “http://www.microsoft.com/” + padding;

nello specifico “/result_22542/” sarà la url aperta nella finestra popup, mentre la barra degli indirizzi di IE7 visualizzerà “http://www.microsoft.com/“.
In che modo viene creata la stringa malevola da settare nella location ?
Dato che la popup è larga 325px, IE7 creerà la barra degli indirizzi della stessa larghezza. Il codice non fa altro che aggiungere tutta una serie di spazi con la funzione unescape(“%A0“) (A0 è il codice Hex dello sapzio &nbsp; nella tabella ISO 8859-1 (Latin-1) ) e creare padding formato da spazi per far in modo che la URL originale vada a finire nella parte non visualizzata della barra degli indirizzi).
La stringa nel dettaglio :

Insomma una tecnica sicuramente ingegnosa, ma altrettetanto sicuramente inefficace (e menomale), visto che :
1) basta un clic in qualsiasi punto della popup per far tornare a visualizzare la stringa document.location dal primo carattere, mostrando quindi l’intera URL.
2) Cliccando sulla barra degli indirizzi ci si accorge subito della presenza degli spazi anteposti alla URL fake.

Quindi, possiamo definire questo problema una vulnerabilità di IE ?
Non credo proprio, visto che l’unica colpa, se cosi si può definire, di Microsoft è quella di aver incluso nella popup la barra degli indirizzi (penso sia stato fatto proprio per permettere all’utente di capire se le pagine visualizzate in popup appartenessero allo stesso sito della finestra browser parent, quindi per una questione di sicurezza).

Il secondo (Internet Explorer 7 Window Injection Vulnerability) è relativo ad un problema di cui già se ne era discusso in precedenza con altre versioni sia di IE sia dei browser concorrenti, derivante proprio dal DOM.
In pratica, un attacker, conoscendo l’id (target name) di un oggetto window (nello specifico una popup), potrebbe redirigere il browser verso una URL diversa da quella decisa dal sito Trusted.
Ecco il codice proposto da Secunia, nel caso il browser abbia il blocco popup disattivato (ne esiste anche una versione per il blocco attivo, che fa uso dei settimeout e degli intervalli di delay per eludere il blocco stesso) :

<script language=”JavaScript” type=”text/javascript“>
// NO POP-UP Blocker
url_no = “/resultpage_no/“;
target = “popup952“;
notarget = “non_existing_name“;
options= “toolbar=no,directories=no,location=no,status=no,menubar=no,
scrollbars=auto,resizable=no,copyhistory=no,width=694,height=620“;

function begin_no_popup()
{
                window.name = target;
  window.onunload = gotUnload;
}

function gotUnload()
{
  if (window.name != target)
  {
  return;
  }

  window.name = notarget;
  open(url_no, target, options);
}

window.name = notarget;
</script>

Nell’esempio questo script viene lanciato sull’OnClick di un href che redirige al sito di usatoday.com. Una volta aperto USA Today sul menu di sinistra esiste un link che apre una nuova popup mostrando una gallery di foto. Bene, la nuova finestra viene creata, ovviamente tramite window.open, assegnandogli come Name (target name) proprio “popup952“. Di conseguenza, quando l’utente farà clic sul menu di USAToday e la pagina contenente lo script malevolo sarà ancora aperta, la URL a cui punta la popup sarà sostituita e il browser quindi rediretto verso l’indirizzo scelto dall’attacker.
Nello specifico di Secunia :
“popup952” -> Name associato alla popup da USAToday
/resultpage_no/” -> URL scelta dall’attacker per redirigere il browser.

Che dire, anche questo non è, secondo me, da considerarsi un problema di sicurezza, visto che si tratta di una funzionalità pensata proprio per riutilizzare le finestre di popup già attive, invece di crearne delle nuove ogni volta che richiesto dall’utente, obbligandolo quindi a chiudere quelle precedenti per non ritrovarsi decine di finestre del browser aperte.

Insomma secondo me, questa volta si tratta, indubbiamente, di una colpevolizzazione di Microsoft senza giusta causa e di un allarmismo che non sussiste per l’utente abituato al web e alle sue sfacettature.

Posted in Security, Windows | No Comments »

[Update] Rilasciata patch ufficiale per la vulnerabilità VML di IE

mercoledì, settembre 27th, 2006

In queste ultime ore Microsoft ha rilasciato la patch che risolve il problema della vulnerabilità del componente che gestisce il rendering di grafica VML su Internet Explorer.

L’aggiornamento è stato resto disponbile tramite Windows Update o tramite la pagina della descrizione della patch (link) contrassegnato come Critical. Insomma a Redmond hanno lavorato in questi ultimi giorni 24 h su 24 per risolvere questo ennesimo problema di Buffer Overrun sulla libreria “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll; la pressione dei clienti è stata veramente forte proprio perchè i bug zero day sono una manna dal cielo per i cracker.

Ne sanno qualcosa quelli di HostGator (hosting provider da più di 600.000 domini), che come riportato da Punto-Informatico, hanno subito un attacco da un gruppo di cracker che grazie ad una falla del software CPanel (utility web based per la gestione di spazio in hosting), sono riusciti ad inserire in oltre 200 siti uno script in grado di sfruttare la vulnerabilità in oggetto per poter infettare le macchine windows dei visitatori con malware di vario genere.

Posted in Security, Windows | No Comments »

Nuovo problema di sicurezza per Internet Explorer

giovedì, settembre 21st, 2006

Microsoft, il 19 Settembre ha pubblicato un security advisory relativo ad Internet Explorer.

Si tratta di una vulnerabilità scoperta nell’implementazione di Windows del linguaggio VML (Vector Markup Language). La patch non è stata rilasciata, ma a Redmond promettono di renderla disponibile, via Windows Update, entro il 10 ottobre con il solito pacco cumulativo di sicurezza di inizio mese :)

La falla permetterebbe ad un attacker, tramite una pagina Web con contenuto appositamente progettato per sfruttare la vulnerabilità, di prendere il controllo completo del sistema e ottenere la possibilità di veicolare verso la macchina della vittima contenuti web non richiesti, etc. Insomma il classico advertisment aggressivo di questi ultimi tempi ….

Gli Workaroudns segnalati da Microsoft sono molteplici, le possibili soluzioni sono :

Ulteriori informazioni si possono trovare alla URL ufficiali del Security Advisory su Technet (925568)

Posted in Security, Windows | No Comments »