Zero-day per Internet Explorer (con fix)

Microsoft ha rivelato l’esistenza di uno zero-day per Internet Explorer.

Secondo i ricercatori di Qualys, per il momento gli attacchi sarebbero geograficamente limitati all’area del Giappone, ma potrebbero diffondersi una volta che è stato rivelato il problema.

La vulnerabilità scoperta permette di eseguire dei programmi arbitrari sul computer della vittima (remote code execution) inducendola a visitare un sito opportunamente creato per sfruttare il baco.

Tutte le versioni attualmente supportate di Internet Explorer sono interessate da questo problema.

La vulnerabilità è provocata da un componente di Microsoft Office che non è stato compilato con la funzionalità della randomizzazione dello spazio degli indirizzi (ALSR).

Microsoft ha già rilasciato un Fix it per correggere il problema che può essere applicato per le versioni di Exlorer dalla 6 alla 11 incluse. (via Threat Post)

Aggiornamento 2/10/2013 – Microsoft ha assegnato il codice 2887505 a questo problema.

Aggiornamento 4/10/2013 – Microsoft corregge questo problema con il patch tuesday di ottobre.

…e se non posso?

Negli ultimi giorni è stata scoperta e risolta una vulnerabilità di Java e il DHS americano è arrivato a consigliare di disabilitare Java.

Il mese scorso è stata resa nota una vulnerabilità di Internet Explorer fino alla versione 8 e il consiglio è stato di utilizzare altri browser.

Questi consigli sono ovvi, ma spesso impraticabili perché ci possono essere applicazioni aziendali che richiedono quella specifica versione di Java o di Explorer. In questi casi bisogna risolvere il problema dall’esterno.

Leggi tutto “…e se non posso?”

Vulnerabilità per Internet Explorer 6, 7 e 8

Microsoft ha diramato il Security Advisory 2794220 che documenta una vulnerabilità delle versioni di Internet Explorer fino alla 8 inclusa.

La vulnerabilità, già sfruttata da alcuni attacchi, permette ad un malintenzionato di eseguire programmi arbitrari sul computer della vittima (remote code execution).

Chi ha Windows Vista o Windows 7 dovrebbe installare Internet Explorer 9. Purtroppo per loro, gli utenti che hanno Windows XP restano per ora vulnerabili, finché non viene pubblicata una patch.

Tra i fattori mitiganti citati da Microsoft ci sono l’attivazione della enhanced security sui server, ma la nota tecnica dice che questa funzione mitiga il problema, non dice che lo evita. (via Slashdot)

Aggiornamento 1/1/2013 – Microsoft ha reso disponibile un FixIt per sistemare il problema in attesa di una patch.

Aggiornamento 5/1/2013Exodus Intelligence è riuscita a bypassare la patch di FixIt e a compromettere un sistema patchato. (via ISC)

Internet Explorer vi osserva

spider.io ha scoperto una feature di Internet Explorer dalla versione 6 alla versione 10 che permette di tracciare i movimenti del mouse.

Con un semplice programma JavaScript è possibile sapere la posizione del mouse sullo schermo, anche se questo si trova al di fuori della finestra di Explorer o se il programma è ridotto a icona.

La feature potrebbe sembrare utile o innocua, ma bisogna considerare che alcuni sistemi di sicurezza, come Kaspersky, o la funzione integrata della tastiera virtuale di Windows vengono suggeriti come metodi per evitare che i keylogger riescano a carpire le password o altri dati sensibili.

Questi metodi potrebbero essere vanificati da alcune righe JavaScript che si possono vedere in azione qui (ovviamente funziona solo con Internet Explorer).

Contattata da spider.io, Microsoft ha risposto che non ritiene opportuno sistemare il problema. (via Naked Security)

Pericolosa vulnerabilità di Internet Explorer

Lo scorso lunedì è stata diramata la notizia di uno zero day che colpisce tutte le versioni di Internet Explorer fino alla 9 inclusa.

La vulnerabilità del browser permette di eseguire un programma arbitrario sul computer della vittima attraverso un heap spray se questa visita un sito con una pagina creata allo scopo.

Anche il famoso tool Metasploit dispone già di un modulo per sfruttare questo baco.

Microsoft ha rilasciato un FixIt per sistemare il problema immediatamente. Domani 21 settembre verrà rilasciata una patch fuori banda attraverso il canale degli aggiornamenti automatici.

Exploit di IE in giro

Sophos e Symantec hanno annunciato che un exploit di uno 0-day di Internet Explorer è stato rilevato su Internet.

La vulnerabilità di Explorer in questione è la CVE-2012-1875 corretta con la patch MS12-037 lo scorso martedì. Tutte le versioni di Internet Explorer sono interessate da questo problema.

Per sfruttare questo baco è necessario creare un JavaScript ad hoc in una pagina HTML e indurre la vittima ad aprire la pagina con Explorer.

Anche il framework Metasploit ha un plugin per sfruttare questa vulnerabilità.

Il baco in questione consiste nell’utilizzo di un’area di memoria da parte di Explorer dopo che lo stesso l’ha liberata con un’apposita chiamata al sistema operativo (use after free). In questo caso sia DEP sia ASLR possono essere aggirati, come descritto in dettaglio dall’articolo di Sophos.

L’applicazione delle patch di sicurezza dello scorso patch tuesday è, quindi, assolutamente necessaria per evitare problemi.

Catalessi sugli allori

StatCounter è uno dei tanti siti che offre un servizio di analisi di traffico web. Il sito ha pubblicato una statistica anno su anno secondo la quale Internet Explorer sarebbe sceso poco sotto la quota psicologica del 50% di share.

Non ho trovato (se c’è) l’errore medio della statistica per capire quale sia l’errore di quel 49,87% dello share di Explorer in settembre, quindi il dato va preso per quello che è: una statistica.

Per la seconda volta vediamo un browser con quote bulgare di mercato perderle per cause più interne che esterne.

Netscape Navigator ha di fatto guidato la prima (e molto confusa) corsa al web della metà degli anni ’90; dobbiamo proprio a Netscape molte innovazioni dell’HTML, brutte o belle che siano. In quel periodo Microsoft, dopo un primo periodo in cui ha ignorato Internet, giocava molto all’inseguimento, mentre Netscape dominava il mercato. Tutto ciò fino alla versione 3.0, in cui non è stato data importanza al miglioramento del programma, ma ci si è concentrati sull’aggiunta di feature, alcune interessanti (un client di mail), altre un po’ inutili per l’utente quadratico medio (l’editor HTML visuale). Il caravanserraglio che è risultato da questo ingrasso non ha fatto altro che facilitare l’ascesa di Explorer, che, con tutti i suoi innumerevoli difetti, alla fine era più utilizzabile di Netscape.

Leggi tutto “Catalessi sugli allori”

Internet Explorer

Internet Explorer 1.0 su Windows 95

  • 16 agosto 1995: 1.0 (che si identificava come 4.40.308)
  • 22 novembre 1995: 2.0
  • 13 agosto 1996: 3.0
  • Settembre 1997: 4.0
  • 18 marzo 1999: 5.0
  • 27 agosto 2001: 6.0
  • 18 ottobre 2006: 7.0
  • 19 marzo 2009: 8.0

Quindici anni di Internet Explorer, non senza sofferenze, specialmente nei primi anni. Una fama raggiunta soprattutto grazie a scelte completamente sbagliate di Netscape quando era lui ad avere il mercato in pugno. Un monito che nessun produttore di software dovrebbe ignorare. (via Slashdot)