A pochi giorni dal rilascio di Firefox 3.5 è stata scoperta una vulnerabilità critica che affligge il noto browser di casa Mozilla su sistemi Windows. L'exploit in questione sfrutta una falla del nuovo interprete JavaScript permettendo l'esecuzione di un codice arbitrario. L'exploit è già stato pubblicato sui più famosi siti di sicurezza, ad esempio Milw0rm. La tipologia della vulnerabilità è il buffer overflow che consente l'esecuzione di un codice, nell'esempio fornito da Milw0rm, l'exploit eseguirà la calcolatrice di Windows ( calc.exe ). Ovviamente tale codice può essere modificato in modo da effettuare operazioni ben diverse dall'avviare la calcolatrice.

La vulnerabilità riguarda Tracemonkey, il compilatore Just In Time ( JIT ) per JavaScript, introdotto da Mozilla in quest'ultima versione di Firefox per permettere una navigazione e l'esecuzione di applicazioni web più veloce. La modalità d'attacco dell'exploit è una delle più classiche, l'utente arriva ad una pagina web che apparentemente sembra normale, invece nasconde all'interno il codice per sfruttare la vulnerabilità.

Al momento Mozilla lavora per garantire un aggiornamento nel più breve tempo possibile. A tutti gli utilizzatori di Firefox 3.5 si consiglia di effettuare un roleback alla versione 3.0. Oppure in alternativa potete utilizzare questo workaround per disabilitare Tracemonkey. Le operazioni da eseguire sono:

• Nella barra degli indirizzi inserire: about:config;
• Promettete di fare attenzione =D, e scrivete nella casella del filtro jit;
• Fate doppio click sull'opzione "javascript.options.jit.content" e impostate il valore a false.

Utilizzando questo metodo inibirete temporaneamente le prestazioni di Firefox 3.5, in quanto utilizzerà il vecchio interprete JavaScript, quello presente nella versione 3.0.
RICORDATE, appena Mozilla rilascerà la nuova versione dovrete seguire lo stesso procedimento e settare true al posto di false.

UPDATE

Secondo il comunicato rilasciato da MozillaLinks, Mozilla ha confermato che il primo aggiornamento di sicurezza per il nuovo ramo Firefox 3.5 sarà disponibile entro fine settimana. Mentre un secondo aggiornamento sarà rilasciato per la fine di luglio.

UPDATE 2

Mozilla ha rilasciato al versione 3.5.1, che prontamente risolverà questa vulnerabilità. Il download è disponibile a questo indirizzo, oppure tramite il servizio di aggiornamento automatico. Come sempre Mozilla si è rilevata efficiente nel risolvere questo tipo di problematiche.

Durante la notte del 11 luglio ImageShack, noto servizio di hosting per immagini, è stato hackato dal movimento Anti-Sec ( Anti-Security Movement ). L'hack si è basato su un deface della home page e nella sostituzione di tutte le immagini hostate con il loro manifesto. Inoltre gli stessi hacker hanno usato le email ufficiali di ImageShack per diffondere il loro messaggio a tutti gli iscritti al servizio.

Questo è il manifesto diffuso dal movimento Anti-Sec:

Clicca per ingrandire

Riassumendo in poche parole, il movimenti Anti-Sec si oppone accanitamente, e si prefigge lo scopo di eliminare, Full Disclosure. La loro motivazione è molto semplice: non è corretto che i vari exploit, scoperti dalle società di sicurezza, vengano resi pubblici ( per fini economici ). Questo comportamento fa si che chiunque possa copiare gli exploit e utilizzarli per attaccare il bersaglio designato, con relativa facilità.

Il manifesto si conclude con una minaccia abbastanza pesante ai possessori di blog e siti legati al mondo della sicurezza:

If you own a security blog, an exploit publication website or you distribute any exploit..."you are a target and you will be rm'd ( removed ). Only a matter of time."
Thist isn't like before. This time everyone and everything is getting owned.

Per questa notizia vi rimando al post di UpYou.it Blog a questo indirizzo.

Vi ricordo che se avete un dominio Aruba, come nel mio caso, la procedura da seguire sarà molti più semplice, dovrete infatti seguire questi semplici passi.

Andate nel pannello di amministrazione del vostro sito, solitamente all'indirizzo admin.vostrosito.it, e premete su Protezione Directory Hosting Linux.

Protezione di una cartella dal pannello Aruba

Selezionate la cartella che volete proteggere nella lista alla sinistra, nel nostro caso wp-admin. Inserite il nome che volete dare all'area protetta, ad esempio: admin, admin area, private area, ecc... Inserire poi username e password. Vi ricordo che queste credenziali dovrebbero essere diversi da quelle usate per effettuare il login su WordPress.

Beccati questa password criptata =D

Ora la vostra cartella wp-admin sarà protetta

Con questo piccolo workaround i malintenzionati che utilizzeranno una vulnerabilità 0day non potranno accedere alla sezione d'amministrazione, in quanto protetta.

Un grazie a Stefano per la segnalazione.

Ieri, la nota società di sicurezza Symantec, ha rilasciato una segnalazione ( potete trovarla a questo indirizzo ) che coinvolge la sicurezza di Microsoft Office Excel. L'exploit viene inserito all'interno di un file .xls apposito. All'apertura viene eseguito lo shellcode che scarica sul computer due file: uno è un trojan e l'altro è un file Excel vero, utilizzato per non attirare sospetti e maschere l'infezione alla vittima.
Trojan.Mdropper.AC, questo è il nome che Symantec ha attribuito a questo trojan. Al momento non è ben noto il comportamento di questo malware e gli esperti di sicurezza stanno ancora cercando di capire cosa faccia. Di certo nulla di buono =D
Il problema è stato reso noto anche a Microsoft, stando a questo bollettino Security Advisory 968272. Al momento non sono state rilasciate patch o aggiornamenti per eliminare la minaccia. L'unico modo per avere la certezza di non essere colpiti è prestare molta attenzione ai file con estensione .xls che ci arrivano da mittenti ignoti.
Il nuovo formato xlsx non è invece affetto da questa vulnerabilità.

Questo è il nome dato all'exploit che mette fuori gioco la messaggistica nei telefoni cellulari Nokia. Leggi il resto di questo articolo »