Nella giornata di domenica 6 dicembre l’hacker romeno Ne0h ha postato sul proprio blog un proof-of-concept per un attacco che sfrutta una serie di vulnerabilità che erano già state messe in evidenza nei mesi scorsi.
Gli errori relativi alla validazione dell’input nel sito Web del Pentagono, come mostrato da Ne0h, possono essere sfruttati per attuare un attacco di tipo cross-site scripting (XSS).
La falla era stata già in precedenza individuata (fine aprile) e segnalata, ma a quanto pare non è mai stata corretta.
Il sito in questione consente di reperire informazioni sulla possibilità di effettuare una visita turistica organizzata all’interno del Pentagono e sembra a prima vista non contenere informazioni sensibili o dati ad alto rischio.
Continua »
I programmatori di Mozilla sono al lavoro per arginare le vulnerabilità di tipo XSS, ovvero cross-site scripting, un tipo di attacco sempre più diffuso.
Il progetto di Mozilla si chiama Content Security Policy e servirà ad arginare gli attacchi di questo tipo inserendo nelle applicazioni Web un sistema che “informa” il browser sulla legittimità o meno della pagina aperta, riuscendo a bloccare pertanto la perdita dei dati utente in esso memorizzati.
Continua »
Chrome 2 è stato rilasciato qualche giorno fa e, come accaduto per tutti i suoi concorrenti, anche Google ha messo “l’accento” sull’aspetto della sicurezza in quest’ultima versione del proprio browser.
Alcune importanti novità di Chrome 2 sono la funzione che protegge dal “cross-site-scripting“, quella che tiene al sicuro la navigazione dal cosiddetto “clickjacking” e la possibilità che consente di navigare soltanto tra i siti che utilizzano il protocollo sicuro HTTPS, escludendo quelli che utilizzano protocolli SSL non validi o scaduti.
Continua »
Dopo pochi giorni dal rilascio della nuova versione di Opera, arriva la notizia della necessità di una nuova patch in grado di proteggere i navigatori da una nuova vulnerabilità appena scoperta.
La falla di sicurezza consiste in una vulnerabilità di tipo stored cross-site scripting e potrebbe essere quindi la porta d’accesso per l’esecuzione di codice maligno da remoto. In particolare il punto debole è il modulo della gestione della cronologia di Opera.
L’attivazione del codice maligno potrebbe avvenire in modo estremamente semplice, anche solo navigando su siti Web confezionati ad hoc. Il ricercatore Aviv Raff, ha dimostrato in che modo un malintenzionato potrebbe sfruttare la falla e eseguire un programma in Windows (nella dimostrazione è stato lanciato il processo della calcolatrice di Windows, “calc.exe”)
Continua »
Non sono passate che poche ore dal rilascio dell’update di sicurezza 9.61 di Opera, e ecco che il browser norvegese è colpito da una nuova vulnerabilità di tipo Cross-site Scripting.
Il problema deriva da una errata gestione della cronologia ed è illustrato nei dettagli in un Vulnerability Advisory a cura di Roberto Suggi-Liverani.
Dalla pubblicazione dei dettagli all’exploit ufficiale il passo è stato breve. E infatti il ricercatore Aviv Raff ha quasi immediatamente pubblicato un proof of concept: una semplice pagina Web visitata con il browser incriminato permette l’avvio della calcolatrice di Windows.
Continua »
Le minacce informatiche e gli attacchi maliziosi continuano a perseguitare i gestori di siti Web e i navigatori. Con questo scenario sembra ovvio che molti sforzi vengano impiegati per risolvere problemi legati all’affidabilità dei siti Web.
Qual’è quindi lo stato della sicurezza in questo ambito? Pessimo, almeno a sentire quanto dichiarato da WhiteHat Security nella sua ultima analisi su un campione consistenti di siti Web.
Continua »
Nei giorni scorsi Repubblica.it ha pubblicato un articolo e alcuni video su un baco che affligge il sito di aste online più famoso e utilizzato al mondo, eBay.
I documenti proposti puntano a dimostrare come sia possibile ingannare gli utenti eBay, riuscendo a recuperare alcuni dei loro dati sensibili.
Ritengo opportuno fare qualche precisazione perché dalla lettura dell’articolo si potrebbero trarre delle conclusioni sbagliate, come ad esempio, che è possibile recuperare i dati delle carte di credito dell’utente.
Continua »
La fantasia e l’ingegno degli spammer non hanno limiti: se, fino ad oggi, dovevamo munirci di client di posta dotati di ottimi filtri antispam per non essere sommersi da pubblicità di ogni genere, ora dobbiamo preoccuparci anche di difendere la nostra stampante dallo spam!
In linea teorica, infatti, potremmo ritrovare la nostra stampante di rete che all’improvviso inizia a stampare volantini pubblicitari!
Com’è possibile? Lo spiega l’esperto di sicurezza Aaron Weaver, che ha pubblicato uno studio dal titolo Cross Site printing (il link rimanda al paper in pdf). Come si evince dal nome della ricerca, la tecnica prende spunto dal Cross Site Scripting, ossia la tecnica che prevede l’inserimento di codice maligno in una pagina Web.
Continua »
Negli ultimi tempi si è parlato spesso del bug che colpisce Firefox a causa dell’errata gestione degli URI che potrebbe assoggettare il computer al volere di un malintenzionato.
Nonostante la patch rilasciata da Microsoft, sembra che questa falla continui a colpire il browser open source, anche se in modo indiretto.
Questa volta, l’errore consiste nell’errata amministrazione del protocollo .jar: quest’ultimo non controlla il tipo MIME dei file di un archivio, i quali vengono eseguiti all’interno del sito che ospita l’archivio in modo automatico.
Continua »
