Cisco ha pubblicato tre avvisi di sicurezza per correggere delle vulnerabilità in Digital Media Manager, Digital Media Player e Unified Communications Manager. Per le tecnologie monitorate dal CERT-SPC appaiono di rilevo le vulnerabilità corrette in Cisco Unified Communications Manager. Le versioni 4.x, 5.x, 6.x e 7.x sono interessate da una vulnerabilità di tipo denial of service che se sfruttata con successo da un'attaccante può causare l'interruzione dei servizi voce e per ripristinare il funzionamento è necessario l'intervento manuale per il riavvio degli apparati. La vulnerabilità è causata da messaggi SIP (CVE-2010-0590 e CVE-2010-0591) e messaggi CTI manager service (CVE-2010-0592) appositamente predisposti dall'attaccante. Nelle pagine degli avvisi di sicurezza riportate di seguito sono disponibili alcuni workaround per mitigare gli effetti derivanti da un attacco attraverso queste vulnerabilità.

Cisco ha reso disponibile il software correttivo tramite il rilascio delle versioni 5.x per i sistemi interessati per le quali è necessario contattare CISCO per l'assistenza nel processo di aggiornamento.

Ulteriori dettagli tecnici sono disponibili alle seguenti URL:

• http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1b923.shtml
• http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1b925.shtml
• http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1b924.shtml

Alcune fonti in Rete segnalano una vulnerabilità che interessa Microsoft Internet Explorer 8 in grado di consentire ad un attaccante remoto di scaricare un file di tipo Windows HELP appositamente predisposto per eseguire codice arbitrario nel contesto di sicurezza dell'utente che ha avviato l'applicazione vulnerabile. I file Help di Windows sono noti da tempo per essere uno dei vettori preferiti per inoculare malware o sferrare attacchi a causa dell'insicurezza intrinseca di questa tipologia di file e del relativo funzionamento con il sistema operativo fino a Widnows XP. In Windows 7 e Windows Vista, infatti, non è più previsto il supporto di tali tipi di file.

Risulta, inoltre, che la vulnerabilità possa essere sfruttata anche attraverso un sito web appositamente predisposto se l'utente una volta connesso alla pagina preme il tasto di aiuto F1 per richiamare proprio la funzione di aiuto che invoca quei particolari tipi di file. Si raccomanda pertanto di aggiornare le regole dei firewall e analizzare il traffico sulle porte 135 e 445.

Ulteriori dettagli sono disponibili presso le seguenti URL: http://isec.pl/vulnerabilities/isec-0027-msgbox-helpfile-ie.txt

Aggiornamento

In relazione alla modalità di sfruttamento della vulnerabilità in uno scenario web è stato pubblicato in Rete un exploit di tipo Proof-of-Concept (PoF) che sfrutta proprio la funzione di aiuto richiamata tramite il pulsante F1. Microsoft ha pubblicato l'avviso di sicurezza 981169 per confermare l'esistenza della vulnerabilità e pertanto sono disponibili ulteriori dettagli tecnici. Risulta, infatti, che la vulnerabilità si manifesta quando un VSCRIPT è invocato da Internet Explorer sui sistemi Windows 2000, XP e Server 2003. Come indicato in precedenza, invece, le piattaforme Windows 7, Vista, Server 2008 e Server 2008 R2 non sono interessate dalla vulnerabilità. Un attaccante in grado di sfruttare la vulnerabilità può eseguire codice arbitrario nel contesto di sicurezza dell'utente che ha avviato l'applicazione.  Si raccomanda gli utenti, dunque, di non seguire link verso siti web che invitino a premere il pulsante F1 all'interno di pagine web o ad aprire file con estensioni HLP ed in genere altri file sospetti non richiesti., o inaspettati o provenienti da fonti non affidabili.

Ulteriori dettagli sono disponibili presso le seguenti URL:

• http://www.microsoft.com/technet/security/advisory/981169.mspx
• http://blogs.technet.com/msrc/archive/2010/03/01/security-advisory-981169-released.aspx

Adobe la scorsa settimana ha pubblicato un bollettino di sicurezza (APSB10-08) per correggere una vulnerabilità ritenuta critica (CVE-2010-0189) che interessa la versione 1.6.2.60 e precedenti di Adobe Download Manager per la piattaforma Windows. Questa vulnerabilità può consentire ad un attaccante remoto di scaricare ed installare software non autorizzato sul computer dell'utente.

Gli utenti che hanno scaricato Adobe Reader per Windows dalla URL http://get.adobe.com/reader/ o Adobe Flash Player, sempre per Windows, dalla URL http://get.adobe.com/flashplayer/ prima del 23 Febbraio 2010 possono verificare se sono vulnerabili attraverso le istruzioni di seguito riportate:

1) verificare che non sia presente il percorso C:\Program Files\NOS\ . Se tale percorso è presente seguire le indicazioni riportate al punto 2. Click "Start" > "Esegui" e digitare "services.msc". Verificare che nella lista dei servizi non sia presente "getPlus(R) Helper".

2) Se è presente la cartella NOS ed i relativi file nel percorso sopra indicato, la vulnerabilità che interessa Adobe Download Manager può essere mitigata: • Start > Pannello di Controllo > Installazione applicazioni > selezionate Adobe Download Manager, per rimuoverlo dal vostro computer oppure cancellate la cartella C:\Program Files\NOS\ ed il relativo contenuto.

La vulnerabilità segnalata è risolta con la versione 1.6.2.63 di Adobe Download Manager rilasciata il 23 Febbraio 201.

Ulteriori dettagli sono disponibili presso la seguente URL:

http://www.adobe.com/support/security/bulletins/apsb10-08.html

Cisco la scorsa settimana ha pubblicato tre avvisi di sicurezza per correggere alcune vulnerabilità nei seguenti prodotti:

• cisco-sa-20100217-fwsm, corregge una vulnerabilità in Cisco Firewall Services Module (FWSM) per gli apparati Catalyst 6500 Series Switches e Cisco 7600 Series Routers. L'impatto sui sistemi interessati dalla vulnerabilità consente ad un attaccante remoto di creare condizioni di denial-of-service.
• cisco-sa-20100217-asa, corregge molteplici vulnerabilità in Cisco ASA 5500 Series Adaptive Security Appliances. Le vulnerabilità indicate nell'avviso possono consentire ad un attaccante di ottenere l'accesso non autorizzato ai sistemi interessati o creare condizioni di denial of service.
• cisco-sa-20100217-csa, corregge molteplici vulnerabilità in Cisco Security Agent che possono consentire ad un attaccante remoto di eseguire comandi SQL, visualizzare o salvare in locale file e creare condizioni di denial-of-service.

Ulteriori dettagli sono disponibili presso le seguenti URL:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1910e.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1910c.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1910d.shtml

Nella giornata di ieri la Microsoft ha confermato quanto era emerso nei giorni scorsi in relazione ai problemi conseguenti all'installazione degli aggiornamenti rilasciati con il bollettino MS10-015.
Dopo l'applicazione della patch, infatti, alcuni ricercatori avevano riportato condizioni di possibile esposizione a denial of service, dovute ad un presunto errore nella patch medesima. Gli approfondimenti successivi e la conferma del produttore, indicano che i problemi di aggiornamento si verificano su quei sistemi già compromessi dal rootkit Backdoor.Tidserv (noto anche con gli alias Win32/Alureon.BP e W32/Autorun-AFM):il Security Response Center di Microsoft afferma, infatti, che il continuo reboot avviene unicamente per una precedente infezione dei sistemi veicolata attraverso il malware Alureon che apporta modifiche al Kernel di Windows, causando condzioni di instabilità.
Si raccomanda pertanto di:
· aggiornare i sistemi antivirus;
· assicurarsi che il malware Backdoor.Tidserv sia rimosso dal sistema;
· installare l'aggiornamento rilasciato con il bollettino MS10-015;
. avviare il sistema senza privilegi di amministratore.

http://blogs.technet.com/msrc/archive/2010/02/17/update-restart-issues-after-installing-ms10-015-and-the-alureon-rootkit.aspx
http://www.cert-spc.it/index.php/bollettini/vulnerabilita/338-microsoft-aggiornamenti-per-il-mese-di-febbraio-2010

Mozilla Foundation ha pubblicato 5 avvisi di sicurezza (3 "Critical e 2 "Moderate") per correggere vulnerabilità nel browser Firefox, nel client Thunderbird e nella suite SeaMonkey. Le tre applicazioni, disponibili per diverse piattaforme, risultano esposte a molteplici vulnerabilità (CVE-2010-0159 Multiple Remote Memory Corruption Vulnerabilities) di tipo memory-corruption, che se sfruttate possono consentire l'esecuzione di codice arbitrario sul sistema vulnerabile.
Ancorchè non risultino disponibili exploit efficaci, lo scenario di attacco consiste nell'indurre un utente a visitare un sito web appositamente creato e contenente i malware per sfruttare le vulnerabilità .
 
Sono state rilasciate nuove versioni dei prodotti esposti per risolvere le vulnerabilità segnalate:
· Firefox 3.6
· Firefox 3.5.8
· Firefox 3.0.18
· Thunderbird 3.0.2
· SeaMonkey 2.0.3

Si raccomanda l'aggiornamento dei propri sistemi, mediante le risorse rse disponibili dal produttore:

http://www.mozilla.org/security/announce/2010/mfsa2010-01.html
http://www.mozilla.org/security/announce/2010/mfsa2010-02.html
http://www.mozilla.org/security/announce/2010/mfsa2010-03.html
http://www.mozilla.org/security/announce/2010/mfsa2010-04.html
http://www.mozilla.org/security/announce/2010/mfsa2010-05.html