.:: Securnetwork.net Blog – Massimo Rabbi ::.

All’inizio di questo mese avevamo posto l’attenzione su una scoperta fatta da Charlie Miller riguardante l’errato parsing degli SMS da parte dell’iPhone.
Ulteriori dettagli sono stati rilasciati nell’arco della conferenza BlackHat tenutasi a Las Vegas nei giorni scorsi, evidenziando come non solo iPhone ma anche Android e Windows Mobile siano in pericolo.

Per quanto riguarda iPhone, Apple ha rilasciato nella giornata di venerdì 31 luglio la versione aggiornata del firmware, la 3.0.1.
Tutti i dettagli in questa pagina relativa al security update.

A quanto pare in questi ultimi giorni si stanno registrando ondate di attacchi che prendono di mira web applications scritte con ColdFusion (CFML).
I ricercatori del SANS hanno ricevuto infatti notifiche di intrusioni che riguardano l’exploiting di vulnerabilità presenti in vecchie versioni di ColdFusion.
In particolare il problema interessa due componenti delle applicazioni ColdFusion: l’editor di testo FCKEditor e il filemanager CKFinder. Una volta compromessa l’applicazione, gli attaccanti hanno pieno controllo sulla macchina server.
Bojan Zdrnja, ricercatore presso il SANS, fa sapere che le pagine web compromesse tipicamente riportano all’interno del codice html tag <script> che fanno puntare a siti web contenenti ogni sorta di malware, pronto per essere scaricato/installato al fine di sfruttare eventuali vulnerabilità sulle macchine degli utenti.

Il consiglio è quindi quello di verificare le installazioni ColdFusion esistenti ed eventualmente patchare i sistemi. Gli amministratori dovrebbero anche controllare l’eventuale presenza di applicazioni ColdFusion “vecchie” e mai disinstallate: anche queste potrebbero essere un potenziale target degli attacchi.

Charlie Miller, security researcher presso Independent Security Evaluators, ha dimostrato che sfruttando un bug nella modalità di parsing SMS dell’iPhone è possibile disconnettere il dispositivo dal network dell’operatore.
Miller è ancora alla ricerca di una maniera per sfruttare la vulnerabilità per eseguire codice remoto.
Laddove l’exploit risultasse praticabile si aprirebbero scenari abbastanza preoccupanti: iPhone zombie che possono essere monitorati/localizzati (sfruttando il gps integrato) o usati come “microspie” grazie al microfono integrato.

La scoperta è stata presentata alla conferenza SyScan a Singapore nella giornata di ieri e ulteriori dettagli verranno rilasciati in occasione del Black Hat in programma a Las Vegas verso la fine di questo mese.
Fondamentale nella scoperta del bug anche Colin Mulliner.

APPROFONDIMENTI:
- iPhone crashing bug could lead to serious exploit, by The Register

Gli sviluppatori di Samba hanno rilasciato le versioni 3.0.35, 3.2.13 e 3.3.6 per risolvere i problemi legati a due vulnerabilità, una nel smbclient e l’altra nel server
Il tool smbclient soffre di una vulnerabilità di tipo “format string attack” che può essere sfruttata usando il comando put e nomi di file malevoli.
Nelle versioni Samba 3.0.31 e 3.3.5 è possibile eseguire codice arbitrario in certi casi.
La vulnerabilità che riguarda il server interessa invece le versioni 3.2.0 e 3.2.12 di smbd: questa consente di cambiare a piacimento i permessi di un file scrivibile.
Il problema è dovuto ad una mancata inizializzazione di alcuni dati applicativi.
In aggiunta alle nuove versioni, disponibili anche le relative patch.

RIFERIMENTI:
* Security updates for Samba, by Heise Security
* Formatstring vulnerability in smbclient, Samba advisory.
* Uninitialized read of a data value, Samba advisory.

L’esperto di sicurezza Aviv Raff ha nominato il mese di luglio come “Month of Twitter Bugs” (MoTB).
Lo scopo è quello di pubblicare i dettagli di una vulnerabilità al giorno, legata all’uso delle API di Twitter.
Le API consentono ai normali utenti di configurare, gestire e interrogare lo stato del proprio account mediante richieste http.
Raff ha infatti già fatto notare come sia possibile sfruttare le API che interrogano twitpic.com (servizio immagini di Twitter) per diffondere worms.

Volendo essere precisi non ci sono vere e proprie vulnerabilità nelle API di Twitter: si tratta invece di implementazioni errate o poco attente delle API di querying da parte di terzi.
Raff afferma di aver già individuato un numero di bug nei servizi di terze parti (che usano le API Twitter) tale da “riempire” tutto il mese di segnalazioni.
Detto questo è comunque disponibile a ricevere notifiche da parte di qualunque sviluppatore o appassionato che abbia scoperto qualche falla.
Lo scopo dell’iniziativa è sensibilizzare circa i potenziali problemi derivanti da uso non accorto delle API Twitter, ma in generale di API Web 2.0 generiche.
Vista comunque la possibilità di diffondere worms utilizzando queste vulnerabilità Raff ha deciso di dare 24 ore di “pre-avviso” agli operatori Twitter e sviluppatori interessati ogni qualvolta verrà rilasciato un report.
Bisognerà vedere se i fix riusciranno ad essere rilasciati in così poco tempo.

Il “Month of Twitter Bugs” prosegue la serie di iniziative simili che ha visto in precedenza i vari”Month of Browser Bugs”, “Month of Apple Bugs”, “Month of PHP Bugs” e “Month of Kernel Bugs”.
Il “Month of Java Bugs” si è invece rivelato, almeno per ora, un pesce d’aprile.

FONTE: July to be the “Month of Twitter Bugs” by Heise Security

Gli sviluppatori SquirrelMail ha annunciato il rilascio della versione 1.4.18 del loro webmail frontend opensource.
Gli update risolvono numerosi problemi di sicurezza, incluse vulnerabilità di tipo XSS (cross-site scripting) e un fix sulla gestione delle sessioni che consentiva di “rubare” le credenziali di login di un utente.
Patchata anche la possibilità eseguire codice server-side: non ci sono molti dettagli a riguardo.
Aggiunti il supporto per tre nuove lingue e miglioramenti ai meccanismi dei filtri e della rubrica.

Link per effettuare il download della nuova versione 1.4.18.

Riferimenti:
– Security Update for SquirrelMail, by Heise Security

Come pre-annunciato la settimana scorsa, Adobe ha rilasciato gli aggiornamenti di sicurezza che chiudono le vulnerabilità riguardanti varie versioni dei prodotti Adobe Reader e Acrobat.
Gli update fixano un problema di buffer overflow nella funzione Javascript getAnnots() che può essere usato per mandare in crash l’applicazione o addirittura prendere il controllo del sistema.
Affinchè un attacco di questo tipo abbia successo è necessario che l’utente apra un particolare file PDF modificato.
Le versioni 9.1.1, 8.1.5 e 7.1.2 di Adobe Reader e Acrobat risolvono il bug.

La versione 9.1.1 per UNIX dell’aggiornamento risolve anche una seconda vulnerabilità riguardante la funzione Javascript ‘spell.customDictionaryOpen’.
Il metodo in questione può essere manipolato per causare un DoS (Denial of Service) o eseguire codice arbitrario.
Aggiornamento consigliato quindi, e disponibile per le piattaforme Windows, Mac e UNIX.

Riferimenti:
* Adobe closes critical Acrobat and Reader holes, by Heise Security