"Estremamente critica" la vulnerabilità riscontrata sulle versioni di MSN Messenger precedenti alla 8.1 postata su un forum cinese, tanto da costringere la Microsoft nell' esortare gli utenti a migrare a Windows Live Messenger 8.1. L'exploit, disponibile quì, sfrutta un errore nell'handling delle video-conversazioni e può essere utilizzato per eseguire un heap-based buffer overflow causato dall'inondare l'utente vittima con pacchetti appositamente "forgiati" e spediti da chi attacca. Questo overflow di pacchetti farà crashare il programma dando in questo modo all'attaccante stesso la possibilità di sovrascrivere alcune aree di memoria del software per iniettarne del suo (shell e quant'altro) al fine di prendere il controllo della macchina dell'utente vittima. Secunia avverte che questa falla potrebbe consentire l'esecuzione di codice arbitrario, ma richiede che la vittima accetti l'invito attraverso la Webcam. Windows Live Messenger 8.1, non è vulnerabile a questa falla, dice un responsabile di Mcrosoft, esortando ancora una volta gli utenti a passare presto da Messenger 8.0 al Messenger 8.1. "Una volta fatte le opportune indagini, prenderemo appropriate contromisure per proteggere gli utenti." Tutte le versioni di Messenger precedenti alla ver. di Window Live Messenger 8.1 sono da ritenersi vulnerabili. Estratto dell'exploit . (continua a leggere...)

La scoperta è stata fatta per caso da un utente di Ubuntu Gutsy che ha rilevato con AppArmor (un security tool per linux) qualche stranezza di Skype. Così come qualche tempo fa è stata riportata per sistemi windows la notizia che Skype leggeva i dati del BIOS e della scheda madre su Windows Skype legge il file /etc/passwd ed enumera tutte le cartelle di Firefox contenute in /home/*/.mozilla/firefox. Dall’azione di “controllo” messa in atto dal software Skype non sono esclusi anche altri file presenti nella directory /etc/. Lo stesso strano comportamento è rilevabile anche eseguendo il comando strace sull’eseguibile di Skype. Ad esempio strace -v -i -s 9999 /usr/local/bin/skype Quasi sicuramente questi controlli saranno dovuti al fatto che ogni programma per Linux che usa funzioni come il getpwuid () (per esempio) apre effettivamente /etc./ e l'analizza per prendere le informazioni richieste. Provando ad immaginare una funzione getpasswordqualcosa di Skype () che permetta al software di aprire() e leggere() dal suo file di password delle informazioni il tutto potrebbe prendere una piega meno paranoica. Il team di Skype per Linux non ha dato al momento spiegazioni ufficiali al riguardo e sebbene il comportamento su citato non sia da considerarsi "malevolo" sarà sicuramente gradita una loro risposta quanto prima. Via Skype Forum

Dopo circa una ventina di giorni dall'avviso di pubblicazione, ecco quì una prima Disclosure. Dopo la prima mail spedita in data 4 Luglio 2007 e la seconda in data 18 Luglio 2007 Hi all wikio staff! I report for the second time this bug that i found on the XXXXX page that allows XSS attacks like hijacking, phishing and cookies grabbing. The bug is located here: XXXXX PAGE. Exactly: http://www.wikio.it/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Hope that this was usefull to you in the way to fix it as soon as you can. Best regards, A cui faceva seguito la Disclosure Policy. (Il contenuto ribadisce la pericolosità e in questo caso anche il codice della vulnerabilità incriminata, dando la possibilità allo staff del servizio in questione di procedere direttamente al fix) Visto che non ho ricevuto risposta alcuna anche a questa seconda email e considerato che il problema non sembra ancora essere stato fixato ( al momento in cui vi parlo il bug persiste sul sito del social network) ho deciso di pubblicare questa prima Disclosure. AGGIORNAMENTO Dopo aver postato questo articolo, questa mattina sono stato celermente contattato dal responsabile italiano di Wikio (che ringrazio), il quale mi ha subito rassicurato che in breve tempo il bug segnalato sarà corretto.

Il bug potrebbe permettere ad un attaccante di rubare le credenziali di accesso di un numero elevato di utenti, redirettarli su una pagina contenente del codice malizioso oppure potrebbe eseguire degli attacchi di phishing sempre con l'intento di rubare le passwords o altro. Spesso si sottovaluta questo genere di bugs ma così facendo si commette un grave errore. Su siti come i nuovi social network (e il servizio in questione ne è un esempio), si forgiano worm che sfruttano bug di questo genere per proliferare ed infettare più computer possibili in modo semplice e silenzioso, sfruttando anche la reputazione del social network o del sito stesso. (A tal proposito vi segnalo un video dimostrativo che mostra la pericolosità di worm basati su XSS di Rosario Valotta) Non avendo ancora provveduto a risolvere il problema, WIKIO pone gli utenti in una situazione molto pericolosa soprattutto considerando le ultime vulnerabilità di Firefox 2.0.0.5 e Safari. Mi sembra un atteggiamento irresponsabile che un servizio tanto importante quanto diffuso possa ignorare problematiche di questo tipo, ma gli utenti devono essere informati perché è in gioco la loro privacy. Stay Tuned. Ora dopo aver aspettato il rilascio della versione 2.0.0.6 di firefox rilascio questa prima disclosure.