In questa categoria sono visualizzati i bollettini di sicurezza pubblicati dal CERT-SPC relativi alle vulnerabilità informatiche che interessano la sicurezza delle tecnologie in uso alle pubbliche amministrazioni connesse al Sistema Pubblico di Connettività (SPC). Soltanto le vulnerabilità valutate critiche ed importanti, secondo lo metrica CVSS con valore superirore a 7,5, sono preventivamente segnalate dal servizio di "early warning"; per le altre vulnerabilità il CERT-SPC eroga il servizio informatico alle Amministrazioni che ne fanno espressamente richiesta secondo la procedura condivisa.
Vulnerabilità rilevate
- Vuln: Pligg CMS 'status' Parameter SQL Injection Vulnerability
- Vuln: pidgin-otr 'log_message_cb()' Function Format String Vulnerability
- Vuln: HP OpenVMS Integrity Server Unspecified Local Privilege Escalation Vulnerability
- Vuln: Hewlett-Packard Virtual SAN Appliance 'hydra.exe' Remote Buffer Overflow Vulnerability
- Microsoft Windows TrueType code execution
- Java AtomicReferenceArray Sandbox Evasion and Code Execution
- SAMBA RPC Memory Corruption and Code Execution
- Microsoft Windows ActiveX Control Code Execution
- Adobe Flash Player for Chrome Sandbox Bypass Vulnerabilities
- (1) HIGH: Google Chrome Sandbox Escapes
- (3) HIGH: Mozilla Firefox Use-After-Free Vulnerability
- Bugtraq: H2HC Brazil 9th Edition - Call for Papers
- (2) HIGH: Microsoft Remote Desktop Protocol Vulnerability
- SANSFIRE 2011
- 2.8 Mozilla Firefox/Thunderbird/SeaMonkey "shlwapi.dll" Use-After-Free Memory Corruption
| Microsoft: vulnerabilità nelle librerie DLL |
| Mercoledì 25 Agosto 2010 06:50 | |||
|
Dallo scorso 23 Agosto, il CERT-SPC ha monitorato l'evolversi delle informazioni relative ad una vulnerabilità che può consentire l'esecuzione di codice malevolo attraverso le librerie dinamiche (DLL) utilizzate dalle applicazioni nei sistemi Windows. Microsoft con l'advisory 2269637 ha confermato la vulnerabilità, nota in Rete già dalla scorsa settimana, ed ha pubblicato un workaround per mitigare gli effetti dell'attacco per il quale è disponibile in Rete un exploit di tipo PoF (proof-of-concept). La vulnerabilità non interessa uno specifico software in quanto si riferisce alla modalità con cui vengono gestite dalle applicazioni, anche di terze parti, alcune librerie DLL. Tale tecnica è nota come "binary planting" o “DLL Hijacking”: ovvero il caricamento dinamico di DLL che possono contenere codice malevolo. Questa tecnica di programmazione, pertanto, si presta potenzialmente ad essere utilizzata quale vettore di attacco ed i rischi connessi sono noti già da tempo ma l'impatto era ridotto in quanto la vulnerabilità non poteva essere sfruttata da remoto ed era necessaria l'autenticazione sui sistema almeno di non installare software non affidabile o appositamente predisposto.
Il clamore suscitato dalla notizia in queste ore risiede, dunque, nella modalità con cui questa vulnerabilità può essere sfruttata: l'applicazione software avviata dall'utente, anziché caricare il file DLL dalla memoria locale, istanzia una libreria da una risorsa remota. Un'operazione, questa, valutata legittima dai software di protezione ed antivirus che potrebbero non intercettare efficacemente in prima istanza l'eventuale presenza di codice malevolo. Al momento Microsoft non ha rilasciato il software correttivo proprio per la natura della vulnerabilità descritta ed ha fornito, invece, una serie di contromisure (workaround) in grado di arginare l'impatto della vulnerabilità mitigandone gli effetti. In particolare è indicato come linea guida di riferimento di specificare il percorso dove l'applicazione deve puntare per trovare la libreria richiesta, evitando così che l'attaccante possa far eseguire una libreria DLL diversa da quella prevista. I ricercatori che hanno analizzato la vulnerabilità la scorsa settimana indicano, quale ulteriore precauzione, l'opportunità di disabilitare in via provvisoria i servizi SMB e WebDav per mitigare la propagazione dell'attacco. A tal proposito Microsoft ha realizzato un hot-fix che automaticamente applica i workaround suggeriti per aumentare al pervasività delle temporanee contromisure proposte. Considerata la natura della vulnerabilità soltanto i produttori dei software interessati da questa vulnerabilità potranno provvedere a rilasciare gli eventuali aggiornamenti di sicurezza. Attualmente l'expoit PoF per questa vulnerabilità è disponibile per diverse applicazioni abbastanza comuni come Opera, Firefox, Mirosoft Power Point, Microsoft Address Book ed Adobe Photoshop. Lo scenario di attacco per questo exploit prevede che un utente apra un documento o un file immagine con l'applicazione interessata affinché la vulnerabilità venga sfruttata. L'attaccante deve aver preventivamente realizzato un file DLL ad hoc associato alle applicazioni sopra indicate. L’impatto stimato, in caso di successo dell’attacco, è l’esecuzione di codice arbitrario nel contesto di sicurezza dell’utente che ha avviato l’applicazione vulnerabile. Ulteriori dettagli sono disponibili presso le seguenti URL: http://blog.rapid7.com/?p=5325 http://www.microsoft.com/technet/security/advisory/2269637.mspx Tags:
|
|||
| Ultimo aggiornamento Mercoledì 25 Agosto 2010 07:54 |
Ultimi bollettini
- Microsoft: bollettini di sicurezza per il mese di Novembre 2011
- Microsoft: bollettini di sicurezza per il mese di Ottobre 2011
- Adobe: aggiornamento di sicurezza per flash player
- Allerta vulnerabilità dei sistemi SCADA e PLC
- Adobe: aggiornamento di sicurezza quadrimestrale - settembre 2011
- Microsoft: aggiornamenti di sicurezza per il mese di Settembre 2011
Commenti