.:: Securnetwork.net Blog – Massimo Rabbi ::.

Graham Cluley di Sophos, nel suo blog avverte i lettori del ritorno di attacchi di phishing mediante Google Calendar.
Originariamente scoperto questa estate, il fenomeno riguarda l’uso di inviti ad eventi attraverso Google Calendar con la classica domanda del “verifica il tuo account”.
Agli utenti viene infatti chiesto per accettare l’invito di confermare la loro username, password e data di nascita.

I tentativi di phishing sembrano provenire da account email del tipo:
customerserviceXXXX@gmail.com
dove XXXX è un numero di 4 cifre.
Una volta cliccato, agli utenti viene presentata una vera pagina di evento Google Calendar che contiene numerosi errori grammaticali.
Il contenuto è simile a questo “we are having congestions due to the anonymous registration of Gmail accounts so we are shutting down some Gmail accounts”. Dopo di che viene richiesto di confermare le proprie credenziali.

Informazioni aggiuntive:
- Google Calendar Phishing returns, by Heise Security
- Phishing with Google Calendar, Graham Cluley’s blog

Security Tracker ha pubblicato un advisory nel quale viene reso noto che tutte le versioni di Windows Media Player, inclusa l’ultima 11, hanno un comune problema di sicurezza.
Il bug riguarda un integer overflow che può verificarsi durante l’ascolto di particolari file WAV, SND o MIDI. La falla può essere sfruttata per eseguire codice arbitrario con i privilegi dell’utente loggato.

Heise Security sfruttando lo snippet di codice allegato al report, ha testato con successo il crash di WMPlayer 9 su un Windows XP Service Pack 2 e Windows Media Player 11 su un WinXP SP3.
Visto che il bug scoperto da Laurent Gaffie non è stato ancora patchato è molto probabile che non passi molto tempo prima di vedere in circolazione exploits che sfruttino la vulnerabilità.

Approfondimenti:
* Vulnerability in Windows Media Player, by Heise Security
* Windows Media Player Integer Overflow in Playing WAV Files Lets Remote Users Execute Arbitrary Code, Security Tracker report

Secunia e IVIZ Techno hanno pubblicato degli advisories riguardanti alcuni virus scanners.
Un controllo ActiveX vulnerabile dello scanner online Trend Micro HouseCall puo’ consentire di infettare un pc semplicemente visitando un sito web malevole.
Il problema è stato riscontrato nelle versioni House Call 6.51.0.1028 e 6.6.0.1278.
Gli utenti dovrebbero rimuovere il file Housecall_ActiveX.dll e visitare nuovamente il sito web House Call cosi’ da installare la versione piu’ recente 6.6.0.1285.

ESET Smart Suite per Windows è invece interessata da un problema riguardante il driver epfw.sys: sarebbe possibile ottenere i privilegi di sistema utilizzando particolari richieste IOCTL.
E’ già stato rilasciato un aggiornamento che fixa il problema.

Per quanto riguarda AVG per Linux è stata riscontrata una falla nel parsing dei pacchetti UPX che potenzialmente puo’ essere usata per code injection exploits.
La versione interessata è la 7.5.51 e non c’è alcuna patch disponibile al momento.
Problemi anche per la versione linux di BitDefender che soffre di integer overflows in fase di analisi di binari PE corrotti compressi con i packers Neolite o ASProtect.
In questo caso pero’ la casa madre ha già fixato il problema nelle versioni successive alla 7.6.0825.
Sempre in ambito Linux problemi di crash per Sophos SAVScan 4.33.0 che nella scansione di alcuni tipi di file compressi (con i packers Armadillo, ASProtect, asprotectSKE, CAB).
A quanto pare sono stati risolti i problemi con i file .CAB ma non con gli altri.
A chiudere la lista una vulnerabilità in Avast per Linux v1.0.8 (trial) già eliminata nelle successive (disponibile per il download la 1.2.0).

Ulteriori informazioni:
- Vulnerabilities in several virus scanners by Heise Security
- Trend Micro HouseCall “notifyOnLoadNative()” Vulnerability, Secunia advisory
- Bitdefender antivirus for Linux multiple vulnerabilities, iViZ advisory
- ESET Smart Security (epfw.sys) Privilege Escalation Vulnerability, NT Internals advisory
- Sophos Anti-Virus fuzzed CAB archive vulnerability reported; Sophos advisory
- Sophos Antivirus for Linux, iViZ advisory
- AVG antivirus for Linux, iViZ advisory
- Avast antivirus for Linux multiple vulnerabilities, iViZ advisory