Adobe Day: update per risolvere problemi in Flash Player, AIR e Acrobat

Nello stesso giorno del rilascio dei sette aggiornamenti da parte di Microsoft, arriva un importante update di sicurezza da Adobe, con due bollettini contenenti patch per Flash, Acrobat e Reader. Da tempo l'azienda di San Jose  ha scelto di pubblicare i suoi bollettini di sicurezza il secondo martedì del mese, come ha sempre fatto la casa di Redmond. Il primo bollettino di sicurezza di Adobe (APSB13-01) riguarda Flash Player.

Adobe rende disponibili in anticipo aggiornamenti critici per Flash Player

Adobe ha rilasciato sette aggiornamenti di sicurezza, alcuni dei quali contrassegnati come critici, per Adobe Flash Player 11.4.402.287 e versioni precedenti per Windows e Macintosh, Adobe Flash Player 11.2.202.243 e versioni precedenti per Linux, Adobe Flash Player 11.1.115.20 e versioni precedenti per Android 4.x, e Adobe Flash Player 11.1.111.19 e versioni precedenti per Android 3.xe 2.x.

Apple rilascia Safari 5.1.4: miglioramenti e correzione di pericolosi bug

Apple ha rilasciato Safari 5.1.4, l'ultima versione del popolare browser, portando non solo il miglioramento della funzione di servizio, ma anche alcuni aggiornamenti che si rivolgono a buchi di sicurezza che potrebbero consentire ad un hacker di causare gravi danni. Tra i bug corretti figura uno relativo alla gestione degli elementi in Flash e la gestione delle schede. 

Inoltre una serie di problematiche relative alla gestione di PDF. Uno dei più importanti problemi è stato identificato da Matt Cooley di Symantec, che ha notato che l'International Domain Name (IDN), supportato in Safari potrebbe essere utilizzato per creare URL che contengono caratteri look-alike. Questi possono essere utilizzati in un sito web malintenzionato per indirizzare l'utente verso un sito fasullo che appare visivamente come un dominio legittimo. 

Questo problema viene risolto attraverso un migliore controllo di validità del nome di dominio (CVE-2012-0584). Questo problema non interessa i sistemi OS X. Un problema che pone una seria minaccia per la privacy dei clienti è il fatto che la cronologia di navigazione viene registrata, anche se la funzione Private Browsing è attiva. La navigazione privata di Safari è progettata per impedire la registrazione di una sessione di navigazione. Le pagine visitate di un sito che risulti stia utilizzando metodi Javascript pushState o replaceState sono state registrate nella cronologia del browser, anche quando la modalità di navigazione privata è attiva. 

Questo problema viene risolto, non registrando tali visite, quando la navigazione privata è attiva (CVE-2012-0585). Per quanto riguarda le interessanti vulnerabilità scoperte nel WebKit, si apre un nome familiare. Tre dei cinque cross-site scripting che esistono nel WebKit (CVE-2011-3881, CVE-2012-0586, CVE-2012-0587) sono stati accreditati infatti a Sergey Glazunov, l'esperto di sicurezza russo che ha stupito tutti trovando una falla in Google Chrome all'inizio del concorso Pwn2Own.

Visitare un sito Web pericoloso può provocare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario: wushi of team509 lavorando con Zero Day Initiative di TippingPoint (CVE-2011-2825); Apple (CVE-2011-2833); Arthur Gerkis, miaubiz (CVE-2011-2846); miaubiz, Abhishek Arya (Inferno) del Google Chrome Security Team usando AddressSanitizer (CVE-2011-2847); Abhishek Arya (Inferno) del Google Chrome Security Team usando AddressSanitizer (CVE-2011-2854). 

Arthur Gerkis, wushi of team509 lavorando con iDefense VCP (CVE-2011-2855); miaubiz (CVE-2011-2857); Abhishek Arya (Inferno) del Google Chrome Security Team usando AddressSanitizer (CVE-2011-2860); Abhishek Arya (Inferno) del Google Chrome Security Team usando AddressSanitizer (CVE-2011-2866); Dirk Schulze (CVE-2011-2867);  Abhishek Arya (Inferno) del Google Chrome Security Team usando AddressSanitizer (CVE-2011-2868); Cris Neckar del Google Chrome Security Team usando AddressSanitizer (CVE-2011-2869).

A Glazunov è stato accreditato anche un cross-site scripting nella componente WebKit, che avrebbe potuto consentire ai cookies di essere divulgati attraverso origini (CVE-2011-3887). Un buco di sicurezza simile è stato trovato da Adam Barth del Team Google Chrome Security. Ha dimostrato che, visitando un sito dannoso e trascinando con il mouse i contenuti, un attacco cross-site scripting (XSS), potrebbe essere lanciato (CVE-2012-0594). 

Altri aspetti che hanno colpito la privacy degli utenti includono un problema nell'applicazione della politica cookie e uno nel processo di autenticazione HTTP. Infine, sono stati risolti un gran numero di vulnerabilità di corruzione della memoria che potrebbero consentire l'esecuzione di codice arbitrario. Tra coloro che hanno scoperto i difetti troviamo Arthur Gerkis, miaubiz , Abhishek Arya, Cris Neckar, e Aki Helin di OUSPG. L'elenco completo delle correzioni è disponibile qui. Safari 5.1.4 per Windows e Mac è disponibile per il download qui.

Google: navigazione a rischio sui social network con Internet Explorer

Dal Google Security Team giunge un allarme per chi utilizza Internet Explorer: sono stati recentemente condotti alcuni attacchi a siti sociali in grado di sfruttare una vulnerabilità in Windows segnalata a livello di MHTML e veicolati specificatamente tramite il browser Microsoft. La vulnerabilità riscontrata in Windows a livello di MHTML (MIME Encapsulation of Aggregate HTML) non ha ancora trovato un’adeguata risposta da parte di Microsoft a distanza di quasi due mesi dalla sua scoperta e così, adesso, Google ha deciso di lanciare l’allarme. 

La vulnerabilità è legata a Windows, ma l’expolit è stato realizzato in modo da agire con Internet Explorer, quindi il Google Security Team ha messo in guardia gli utenti Windows che usano Internet Explorer dei pericoli che potrebbero essere loro arrecati da questa falla, invitando gli utenti ad usare un browser alternativo almeno fino a che Microsoft non avrà rilasciato la patch specifica che sarebbe in fase di preparazione. La vulnerabilità a livello di MHTML, nonostante l'exploit sia stato reso pubblico già nel mese di gennaio, non ha ancora trovato un correttivo ufficiale da parte dei tecnici di Redmond. Auspicata nel pacchetto aggiornamenti dell'8 febbraio prima e dell'8 marzo poi, la patch risulta infatti ancora in fase di sviluppo. Il ritardo è stato già giustificato da Microsoft informando l'utenza che in realtà non erano note forme di attacco che potessero essere veicolati attraverso la vulnerabilità denunciata. Oggi Google smentisce in pieno questa presa di posizione, confermando la presenza di innumerevoli assalti condotti tramite il bug MHTML, probabilmente di matrice politica, ma perpetrati anche a danno degli utenti di siti sociali. La vulnerabilità potrebbe consentire a un utente malintenzionato di far eseguire script dannosi alle vittime quando visitano un sito Web, con conseguente divulgazione di informazioni. L'impatto è simile a quello delle vulnerabilità XSS. Google ha spiegato di aver adottato alcune precauzioni, anche se non è sicura di riuscire a proteggere tutte le utenze attestate sui suoi server. Nonostante tutto, ammette di aver stretto in queste ore una collaborazione con Microsoft per trovare una soluzione al problema. Nell'attesa gli utenti e le aziende che utilizzano Internet Explorer possono arginare la vulnerabilità utilizzando l'apposito Fix It. Questa soluzione temporanea dovrebbe essere utilizzata fino a quando non venga rilasciata la patch definitiva.

L'MHTML estende l'HTML per incorporare oggetti codificati, ad esempio immagini, in documenti HTML o altri file binari. I funzionari di Microsoft dicono che gli effetti collaterali del FixIt sono trascurabili. "Nei nostri test, l'unico effetto collaterale che abbiamo incontrato è che vengono disabilitati l'esecuzione di script e ActiveX all'interno di documenti MHT. Ci aspettiamo che nella maggior parte degli ambienti questo avrà un impatto limitato. Sebbene MHTML sia un importante componente di Windows, è raramente utilizzato tramite link ipertestuali mhtml. Nella maggior parte dei casi, MHTML è utilizzato dietro le quinte, e questi scenari non vengono intaccati dal blocco del protocollo di rete. Infatti, se non vi sono script nel file MHT, questo verrà visualizzato normalmente senza alcun problema. Inoltre, per i file MHT certamente sicuri, per i quali si desidera che gli script vengano eseguiti in IE, gli utenti possono fare clic sulla barra delle informazioni e selezionare Consenti tutti i protocolli". L'annuncio di Google sembra quasi una mossa per screditare il noto browser di casa Microsoft nel giorno del rilascio della nona edizione di Internet Explorer, "nato su concetti moderni e sviluppato con un occhio di riguardo per le prestazioni e la sicurezza", secondo Microsoft. Ma solo per chi possiede un pc con Windows Vista e 7, il software non funziona infatti con XP, dunque o si aggiorna sistema operativo o ci si deve indirizzare verso altri browser. Anche per questo Microsoft si è trovata a fronteggiare una progressiva perdita di utenti, con la conseguenze crescita di Chrome (oggi intorno al 10%) e un Firefox che supera il 21%. La patch definitiva contro la vulnerabilità di Windows dovrebbe a questo punto essere rilasciata nel corso del prossimo aggiornamento Microsoft mensile, se non anticipata nel caso l'attacco dovesse assumere dimensioni importanti.