.:: Securnetwork.net Blog – Massimo Rabbi ::.

Google ha rilasciato un update di sicurezza per la versione 3 di Chrome. La nuova versione del browser WebKit-based è la 3.0.195.24.
Il bug corretto riguarda l’implementazione della funzione dtoa() utilizzata dal motore JavaScript V8 di Chrome per parsare le stringhe in numeri floating point.

La vulnerabilità contenuta nella Chrome sandbox può essere sfruttata da un ipotetico attaccante per eseguire codice arbitrario.
Affinchè l’attacco avvenga con successo è sufficiente che l’utente visita una pagina web appositamente modificata.
Per effettuare l’aggiornamento gli utenti possono utilizzare la funzionalità built-in di update accedendovi dai menu “Tools->About Google Chrome” e cliccando sul pulsante “Update”

Fonte: Google closes vulnerability in Chrome 3

A quanto pare in questi ultimi giorni si stanno registrando ondate di attacchi che prendono di mira web applications scritte con ColdFusion (CFML).
I ricercatori del SANS hanno ricevuto infatti notifiche di intrusioni che riguardano l’exploiting di vulnerabilità presenti in vecchie versioni di ColdFusion.
In particolare il problema interessa due componenti delle applicazioni ColdFusion: l’editor di testo FCKEditor e il filemanager CKFinder. Una volta compromessa l’applicazione, gli attaccanti hanno pieno controllo sulla macchina server.
Bojan Zdrnja, ricercatore presso il SANS, fa sapere che le pagine web compromesse tipicamente riportano all’interno del codice html tag <script> che fanno puntare a siti web contenenti ogni sorta di malware, pronto per essere scaricato/installato al fine di sfruttare eventuali vulnerabilità sulle macchine degli utenti.

Il consiglio è quindi quello di verificare le installazioni ColdFusion esistenti ed eventualmente patchare i sistemi. Gli amministratori dovrebbero anche controllare l’eventuale presenza di applicazioni ColdFusion “vecchie” e mai disinstallate: anche queste potrebbero essere un potenziale target degli attacchi.

Charlie Miller, security researcher presso Independent Security Evaluators, ha dimostrato che sfruttando un bug nella modalità di parsing SMS dell’iPhone è possibile disconnettere il dispositivo dal network dell’operatore.
Miller è ancora alla ricerca di una maniera per sfruttare la vulnerabilità per eseguire codice remoto.
Laddove l’exploit risultasse praticabile si aprirebbero scenari abbastanza preoccupanti: iPhone zombie che possono essere monitorati/localizzati (sfruttando il gps integrato) o usati come “microspie” grazie al microfono integrato.

La scoperta è stata presentata alla conferenza SyScan a Singapore nella giornata di ieri e ulteriori dettagli verranno rilasciati in occasione del Black Hat in programma a Las Vegas verso la fine di questo mese.
Fondamentale nella scoperta del bug anche Colin Mulliner.

APPROFONDIMENTI:
- iPhone crashing bug could lead to serious exploit, by The Register

Gli sviluppatori SquirrelMail ha annunciato il rilascio della versione 1.4.18 del loro webmail frontend opensource.
Gli update risolvono numerosi problemi di sicurezza, incluse vulnerabilità di tipo XSS (cross-site scripting) e un fix sulla gestione delle sessioni che consentiva di “rubare” le credenziali di login di un utente.
Patchata anche la possibilità eseguire codice server-side: non ci sono molti dettagli a riguardo.
Aggiunti il supporto per tre nuove lingue e miglioramenti ai meccanismi dei filtri e della rubrica.

Link per effettuare il download della nuova versione 1.4.18.

Riferimenti:
– Security Update for SquirrelMail, by Heise Security

Come pre-annunciato la settimana scorsa, Adobe ha rilasciato gli aggiornamenti di sicurezza che chiudono le vulnerabilità riguardanti varie versioni dei prodotti Adobe Reader e Acrobat.
Gli update fixano un problema di buffer overflow nella funzione Javascript getAnnots() che può essere usato per mandare in crash l’applicazione o addirittura prendere il controllo del sistema.
Affinchè un attacco di questo tipo abbia successo è necessario che l’utente apra un particolare file PDF modificato.
Le versioni 9.1.1, 8.1.5 e 7.1.2 di Adobe Reader e Acrobat risolvono il bug.

La versione 9.1.1 per UNIX dell’aggiornamento risolve anche una seconda vulnerabilità riguardante la funzione Javascript ’spell.customDictionaryOpen’.
Il metodo in questione può essere manipolato per causare un DoS (Denial of Service) o eseguire codice arbitrario.
Aggiornamento consigliato quindi, e disponibile per le piattaforme Windows, Mac e UNIX.

Riferimenti:
* Adobe closes critical Acrobat and Reader holes, by Heise Security