La nuova cifra è infatti di ben 3000$, un grosso salto se si considerano i “soli” 500$ che fin dal 2004 venivano pagati per i vari bug scoperti.

Nel programma di bug-hunting di Mozilla sono stati aggiunti due nuovi prodotti: Mozilla Services e Firefox Mobile.

Lucas Adamski, security engineer director di Mozilla, ha scritto sul blog del gruppo riguardo la nuova “taglia” e indicato quelle che sono le regole fondamentali per aggiudicarsela:

• il bug deve essere originale e mai stato pubblicato prima;
• il bug deve essere di tipo remote exploit;
• il bug deve essere individuato in una delle ultime versioni ufficiali, beta o release candidate dei vari Firefox, Firefox Mobile, Thunderbird o Mozilla Services;
• il bug non deve essere causato o individuato in plugin/estensioni di terze parti.

La presentazione tenuta durante il corso di Visione Artificiale di Samuel Rota Bulò, mio correlatore.

Stay tuned!

Ecco qua un video di Sophos che mostra come viene attuato l’inganno e installato il malware. Maggiori informazioni sull’accaduto sempre sul blog di Sophos.

Altro “buon” esempio di social engineering!

Escalation di privilegi grazi ad una serie di vulnerabilità nella Virtual DOS Mode (VDM).
Il parco dei sistemi interessati è quello dei sistemi 32-bit, sembra da Windows NT 3.1 a Windows 7.

Provato e testato personalmente su Windows XP SP3 completamente patchato.
Ho realizzato un piccolo video giusto per far capire uno dei più classici motivi per cui un exploit simile puo’ risultare utile.

Amministratori di rete… disabilitate!!!

Stranamente ho notato l’errore:

The email address or password you provided does not match our records

Dopo i classici tentativi di reinserire la password e cancellazione di cache e cookie, ho pensato ci fosse qualcosa non andasse.

La prima supposizione è stata che per qualche motivo il sistema avesse accettato i caratteri speciali della password ma fosse andato storto qualcosa nella fase di salvataggio.
Ho proceduto quindi alla procedura di recupero password e inserito una nuova password di 24 caratteri senza caratteri speciali.

Tuttavia al tentativo di login ancora una volta lo stesso errore.
Dopo una rapida ricerca su Google ho trovato questo interessante post a riguardo: “LinkedIn Password Length Confusion“.
Il problema sembra sia che la password del proprio account deve avere una dimensione minima di 6 caratteri e massima di 16.
Il sistema ha infatti troncato la mia password di 24 (caratteri speciali o no non fa alcuna differenza), tant’è che provando a prendere i primi 16 si riesce ad effettuare correttamente il login.

La cosa alquanto strana è che da nessuna parte venga riportato che i caratteri non possono superare i 16, né tanto meno viene notificato che il campo sta superando la lunghezza consentita in fase di modifica.
Nella home page la maschera di registrazione, ad esempio, sotto il campo password riporta il messaggio:

6 or more characters

Lo stesso autore del post che ho trovato, è venuto a conoscenza del motivo solo dopo aver inviato una mail al supporto tecnico.
Occhio dunque alla lunghezza della password scelta

Le considerazioni di questo post riguardano l’attuale versione di Ubuntu 9.04 (Jaunty Jackalope) installata sul mio pc desktop, ma penso possano essere applicate tranquillamente alla più recente 9.10.
In particolare quello che ci serve è prelevare direttamente dal sito del progetto pidgin-facebookchat l’ultima versione, nel mio caso la 1.63.
E’ necessario inoltre procurarsi il .deb della libreria libjson-glib-1.0-0: pidgin-facebookchat infatti richiede una versione >= 0.7.6.
Quest’ultimo è disponibile direttamente da qui:
- http://mirrors.kernel.org/ubuntu/pool/main/j/json-glib/libjson-glib-1.0-0_0.7.6-0ubuntu1_i386.deb
- http://mirrors.kernel.org/ubuntu/pool/main/j/json-glib/libjson-glib-1.0-0_0.7.6-0ubuntu1_amd64.deb

Una volta installati entrambi i .deb e creato l’apposito account da Pidgin sarà possibile sfruttare la chat dal nostro programma di instant messaging preferito.
Le versioni di pidgin-facebookchat e libjson-glib-1.0-0 disponibile sui repository ufficiali e accessibili ad esempio da “Sistema->Amministrazione->Gestore pacchetti” sono datati.
Personalmente tempo addietro ho avuto modo di provarli e ho notato parecchi problemi.
Buona chat dunque!

Una foto del team al completo: da sx verso dx Massimo Rabbi, Rango Marco, Alessandro Zuritti, Maestro Andrea Speciale, Stefano Bovo.

Gli amministratori inoltre non saranno più in grado di effettuare l’upload di files arbitrari nella media library: ricordiamo che la white list di estensioni consentite finora era applicata solo agli utenti normali.
Lo scopo è rendere più difficile ad un eventuale attaccante che abbia compromesso un account amministrativo, di effettuare l’upload e l’esecuzione di codice PHP.

Il team raccomanda altresì di installare il plugin “WordPress Exploit Scanner” che consente di rilevare potenziali tracce di intrusione sui propri siti/blog.
Il plugin infatti cerca nei file e nel database (post, commenti, tag etc.) la presenza di potenziale codice malevole, tenendo di fatto sotto controllo anche la lista dei plugin attivi.
Come lo stesso sviluppatore dell’estensione Donncha O Caoimh tiene a sottolineare, questo plugin non previene in alcun modo eventuali attacchi.

Con il rilascio dei modelli 1008HA e 1005HA (linea Seashell appunto) le uniche versioni disponibili sul mercato prevedevano Windows XP come OS installato.
Non era infatti prevista una versione che montasse il sistema operativo open source, anche se dopo questa mossa di ASUS molti sono propensi a credere che presto arriveranno i modelli basati su sistema Moblin.
La versione finale di Moblin 2.0 è stata rilasciata a fine settembre e stando agli sviluppatori, è stata testata sia su 1008HA che 1005HA.
In ogni caso Asus non ha ancora fatto dichiarazioni ufficiali a riguardo.

Il codice sorgente Linux disponibile è disponibile per le versioni 1008HA e 1005HA e consiste di circa 2.2GB, divisi in 5 parti che possono essere scaricate direttamente dal sito “Support Asus“.
I sorgenti rilasciati sarebbero conformi ai requisiti della licenza GPL, visto che viene fornito anche il codice che include le patches applicate dal produttore.

Il problema più grosso è che nonostante il codice sorgente sia completo, mancano degli script o dei file di configurazione che aiutino l’utente nel processo di compilare un sistema operativo completamente funzionante.

Di seguito l’estratto della descrizione del meeting:

Il primo evento gratuito dell’User Group DotNetRomaCestà, sulla tecnologia .Net, in cui saranno illustrati alcune tecniche di programmazione. Le varie sessioni di questo evento, della durata di un giorno, sono di livelli diversi da sessione a sessione, permettendo a chiunque di partecipare in base alle proprie conoscenze. Nel corso dell’evento, si affronteranno argomenti avanzati come MVC ed utilizzo del database Sql Server 2008, altre sessioni riguarderanno il nuovo ambiente di Sviluppo Visual Studio 2010, come il nuovo controllo Chart della tecnologia Asp.Net 4.0 e l’utilizzo delle api di Bing.
L’evento è completamente gratuito, per tanto non è disponibile un servizio di catering. Nelle vicinanze della struttura sono presenti bar e tavole calde, dove si potranno gustare buoni pasti
Durante l’evento verranno estratti dei numeri assegnati ai partecipanti in fase di registrazione, che permetteranno di ricevere alcuni “premi”, in particolare alcune copie dei libri, e licenze di Kaspersky.

L’importanza di questo Patch Tuesday sta nelle correzioni di due bug molto seri riguardanti un bug in SMBv2 e un altro nella funzionalità FTP di IIS.
I prodotti interessati dagli aggiornamenti sono Microsoft Windows, Internet Explorer, Microsoft Office, Silverlight, Microsoft Forefront, Developer Tools, e SQL Server.

Ancora nessuna novità riguardo il pericoloso bug nelle CryptoAPI che lascia il “fianco scoperto” ad attacchi al protocollo SSL, compromettendo la sicurezza di browser e altri software che su di esse si appoggiano.

Il Netgear RangeMax WNR3500L supporta una vasta gamma di firmware open source, dai DD-WRT e OpenWrt al HyperWRT-based Tomato.
Le versioni compatibili del firmware sono disponibili per il download nell’apposita sezione della community myopenrouter.com.
Il firmware originale del device è basato su kernel Linux 2.4.20 e i sorgenti sono disponibili online.

Per ulteriori dettagli si rimanda alla visione della pagina web del prodotto e del relativo datasheet.
Stando alle dichiarazioni di Netgear il router dovrebbe essere disponibile a breve (autunno 2009, ormai ci siamo!).
Il prezzo sul mercato per quanto riguarda gli Stati Uniti dovrebbe aggirarsi sui 139.99$.

La vulnerabilità contenuta nella Chrome sandbox può essere sfruttata da un ipotetico attaccante per eseguire codice arbitrario.
Affinchè l’attacco avvenga con successo è sufficiente che l’utente visita una pagina web appositamente modificata.
Per effettuare l’aggiornamento gli utenti possono utilizzare la funzionalità built-in di update accedendovi dai menu “Tools->About Google Chrome” e cliccando sul pulsante “Update”

Fonte: Google closes vulnerability in Chrome 3

Il team di sviluppo ha fixato la validazione certificati in php_openssl_apply_verification_policy e aggiunto dei sanity check in imagecolortransparent() e nel codice di processing dei file EXIF (Exchangeable Image File Format).
I dettagli completi sono visibili alla pagina delle Release notes.

Secondo un post pubblicato sul blog ufficiale di Google, le performance Javascript sono state migliorate del 150% rispetto alla prima beta e di ben il 25% rispetto all’ultima stable release: tutto questo grazie agli aggiornamenti al motore Javascript V8.

La release include una nuova pagina “New Tab” riprogettata per essere personalizzabile secondo le preferenze dell’utente e customizzabili nel look-and-feel mediante il supporto built-in per i temi.
La barra degli indirizzi “Omnibox” utilizza ora icone diverse per distinguere azioni come la ricerca, bookmarks e pagine precedentemente visitate.
Il nuovo Google Chrome 3.0 inoltre introduce nuove caratteristiche HTML 5, gli elementi <audio> e <video>.

Questa ultima release inoltre corregge un problema di sicurezza riguardante i contenuti dei feed RSS o Atom, onde prevenire i tentativi di injection di codice Javascript e attacchi cross-site scripting (XSS).
La versione è disponibile in 50 lingue differenti per i sistemi operativi Windows XP e Vista.

Ancora da rilasciare invece una versione stabile per Chrome su sistemi Linux e Mac OS X.
L’ultima versione rilasciata circa una settimana fa attraverso il Developer Channel è la 4.0.207.0, e corregge alcuni bug oltre a fixare un problema di XSS.

La nuova versione migliora le informazioni per l’utente in fase di installazione applicazioni che facciano affidamento su altre già presenti nel dispositivo. Migliorate le performace Wi-Fi con Bluetooth attivo. Safari Mobile ha ora una nuova funzionalità anti-phishing.

La maggioranza degli aggiornamenti di sicurezza sono legati a errori in WebKit che consente l’injection e esecuzione di codice malevole nel dispositivo quando un utente visita determinati siti.
Incluso nel pacchetto anche l’aggiornamento riguardante il famoso bug degli SMS già corretto nella release 3.0.1 di inizio agosto.

Gli utenti iPod touch che non hanno ancora aggiornato alla versione iPhone OS 3.x, possono farlo ora comprando l’update su iTunes Store a 4.95$.

Sembra infatti che la versione Firefox 4.0 sarà rilasciata ad ottobre o novembre del prossimo anno.

Nel frattempo compariranno le minor release 3.6 e 3.7 previste rispettivamente per la fine di quest’anno e l’inizio/metà del prossimo.

Già all’inizio di questa estate erano stati annunciati alcuni dei cambiamenti all’interfaccia di Firefox che interverranno in occasione della major release.

Accolti con favore anche i rumor di rendere il browser più Chrome-like con la separazione dei processi di UI e gestione dei contenuti Web.

Sempre da Google Chrome dovrebbe essere ripresa l’idea un processo per ogni tab onde evitare fastidiosi crash e perdite di sessioni, rendendo così più stabile la navigazione.

Con tutta probabilità Mozilla sceglierà di rilasciare Firefox 3.6 in un periodo concomitante l’uscita del nuovo Microsoft Windows 7, prevista il 22 ottobre prossimo.

La versione codenamed Namoroka e basata su Gecko 1.9.2 porterà con sé alcuni miglioramenti tra cui una migliore browser-interaction, temi più leggeri, migliorie al motore Javascript TraceMonkey e un restore delle sessioni più affidabile.

Adobe ha annunciato che la data prevista per i prossimi aggiornamenti per Adobe Acrobat e Reader sono previsti per il 13 ottobre.
Il vendor ha chiamato in causa le vulnerabilità scoperte di recente nella Microsoft Active Template Library (ATL), che affliggono numero prodotti.
Tutto ciò comporterà appunto un ritardo nel ciclo di patch trimestrale introdotto in primavera, visto che il fix su questi bug ha la priorità su quelli scoperti internamente.

RIFERIMENTI:
- Adobe and Oracle delay their patch days, by Heise Security

RIFERIMENTI:
* Security updates for Samba, by Heise Security
* Formatstring vulnerability in smbclient, Samba advisory.
* Uninitialized read of a data value, Samba advisory.

L’email contiene naturalmente un link che porta ad una pagina di login SquirrelMail contraffatta.
Va chiarito tuttavia che la versione attuale è la 1.4.19 e come detto sopra non ci sono possibilità che il codice sorgente sia stato manipolato.

RIFERIMENTI:
– SquirrelMail open source project’s web server hacked, by Heise Security

A seconda di come è configurato il web server, la prima richiesta può quindi fare in modo che vengano mantenute delle risorse per la response in attesa che venga completata l’intera request.
I web server vulnerabili a questa sorta di “freno a mano” remoto sono stranamente proprio quelli che implementano strategie per evitare gli overload, per esempio, consentendo solo un determinato numero di richieste HTTP parallele.
Stando a quanto dichiarato da Hansen fra questi Apache Server 1.x e 2.x, dhttpd, GoAhead WebServer e Squid. Non vulnerabili al problema IIS6.0, IIS7.0 e lighttpd.
I web server possono essere protetti mediante l’utilizzo di load balancers come Perlbal o web applications firewall che forwardino in maniera completa le richieste HTTP al server.
In caso di attacchi improvvisi, il problema può essere “mitigato”, semplicemente riducendo il parametro di time-out per le richieste http.

RIFERIMENTI:
* Remote handbrake for web servers by Heise Security
* Slowloris HTTP DoS, an explanation of the Slowloris concept from RSnake.