skip to main | skip to sidebar
10 commenti

[IxT] JPEG assassina per Windows, pronto il kit per la strage. Adesso che si fa?

Questa newsletter vi arriva grazie alle gentili donazioni di "lenor8", "maurizio" e "rmbianchi".

Come preannunciato qualche giorno fa, la falla di sicurezza del software Microsoft che permette di infettare un computer semplicemente visualizzando un'immagine in formato JPEG appositamente confezionata (sì, non sto scherzando) non è più una vulnerabilità teorica: ora è un problema concreto.

Infatti sono già in circolazione le prime dimostrazioni e i kit per fabbricare le immagini infettanti. Ecco un'immagine (innocua!) del kit a portata di dilettanti, tratta dal sito della società antivirale F-Secure:
http://www.f-secure.com/weblog/

E qui c'è un pezzo (censurato) di codice dimostrativo:
http://www.k-otik.com/exploits/09222004.ms04-28.sh.php

La spiegazione tecnica di come funziona la falla e di quanto sia paurosamente semplice sfruttarla è qui.

Per gli utenti Windows, il problema a questo punto è cosa fare, visto che l'ondata di piena è sicuramente in arrivo e a breve troveremo la Rete infestata di siti ed e-mail contenenti immagini JPEG che infettano o fanno impallare Windows. È prevedibile che nelle prossime settimane assisteremo alla solita litania di blocchi di sistemi informatici pubblici basati su Windows (Bancomat, Poste, banche, prenotazioni mediche, check-in aeroportuali, eccetera): tenetene conto nelle vostre attività, magari tenendo in tasca qualche euro in più per le emergenze.

È una raccomandazione che faccio anche agli utenti Mac e Linux, anche se non sono affetti direttamente da questa falla: lo saranno lo stesso indirettamente in caso di collasso dei PC Windows usati da colleghi, clienti, fornitori e servizi pubblici.

Le istruzioni fornite da Microsoft sono incasinatissime:
http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx

In sintesi, potete usare Windows Update per eliminare la falla da Windows XP: si può fare anche senza installare il contestatissimo Service Pack 2, usando l'aggiornamento KB833987 disponibile nella pagina Microsoft indicata sopra.

Ma può non bastare: se avete Microsoft Office, potreste essere comunque a rischio. Anche alcune versioni di Microsoft Office, infatti, contengono una versione vulnerabile del componente che gestisce le immagini JPEG (gdiplus.dll). Per cui dovete usare anche Office Update.

Non è finita. A prescindere dalla versione di Windows che usate, se avete installato alcune versioni di programmi come Project, Visio, Visual Studio .NET, Visual C#, Picture It, Digital Image Pro e altri (tutta roba Microsoft, per la serie "un nome, una garanzia"), potreste essere comunque vulnerabili a prescindere da patch e contropatch. Se usate uno dei programmi indicati da Microsoft (la lista completa è sempre nella pagina Microsoft citata sopra), dovete aggiornarlo con una versione non vulnerabile.

Una versione semplificata della procedura è descritta in inglese qui e in italiano qui.

La procedura semplificata include una funzione che controlla la presenza di programmi vulnerabili nel vostro PC. Fate però attenzione: questo controllo non dice se avete una versione sicura o no dei vari programmi, ma si limita a ricordarvi che avete nel computer uno dei programmi potenzialmente vulnerabili.

Può anche darsi che i prossimi aggiornamenti degli antivirus riescano a gestire alcuni dei canali attraverso i quali possono arrivare immagini infette (gli allegati agli e-mail, per esempio). Staremo a vedere: resta valido il consiglio di tenere costantemente aggiornato l'antivirus e di diffidare di ogni allegato di qualsiasi provenienza.

Se tutto questo vi manda in bestia, vi capisco perfettamente. È proprio per falle come queste che da tempo consiglio (e non sono certo il solo) di passare a soluzioni alternative. Una recente falla vagamente analoga per il formato grafico PNG si risolse con una mini-patch assolutamente indolore per Linux e per Mac. Con Windows non si sa neppure da che parte cominciare a rattoppare.

Certo migrare a Linux o Mac costa fatica, ma quanto vi costerà restare con Windows dopo questa falla? E cosa farete quando arriverà la prossima? Pensateci. Io l'ho fatto, e ora vi scrivo tranquillo dal mio Mac.

Non voglio sembrare allarmista, ma questa è obiettivamente una delle falle più pericolose da anni a questa parte, perché riguarda un formato, il JPEG, che tutti ritenevano impossibile usare come veicolo d'infezione, e soprattutto riguarda un elemento assolutamente essenziale di Internet come le immagini. Ma quando una cosa sembra impossibile, ci pensa mamma Microsoft a renderla possibile. E poi dicono che zio Bill non sa innovare!

Di conseguenza, non state lì ad aspettare: fate qualcosa. Qualsiasi cosa. Installate le patch (dopo un backup o almeno un punto di ripristino, mi raccomando), fatevi aiutare da un amico esperto, tempestate di telefonate l'assistenza Microsoft o quella del vostro rivenditore (a seconda delle condizioni indicate nella vostra licenza di Windows), buttate via il computer, comprate un Mac, installate Linux, ma non statevene con le mani in mano. Ogni computer che rimane vulnerabile è un computer in più che può diffondere l'infezione.

Proteggersi, fra l'altro, è una questione di responsabilità sociale, perché se non vi proteggete, danneggerete non soltanto voi stessi, ma anche altri utenti.

Siete nella posizione tutto sommato vantaggiosa di sapere che il pericolo sta arrivando e avete tempo per porvi rimedio. Aspettare e sperare che le cose si sistemino da sole sarebbe incosciente.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (10)
Ho notato che dalle pagine indicate c'e' un upgrade per IE6sp1 ma andando alla pagina di download indica che l'aggiornamento e' per tutti i SO tranne che per XP.

C'e' un motivo?
(ad esempio la patch per XP copre anche IE6sp1?)
[quote]Proteggersi, fra l'altro, e' una questione di responsabilita' sociale, perché se non vi proteggete, danneggerete non soltanto voi stessi, ma anche altri utenti.

Siete nella posizione tutto sommato vantaggiosa di sapere che il pericolo sta arrivando e avete tempo per porvi rimedio. Aspettare e sperare che le cose si sistemino da sole sarebbe incosciente.
[/quote]

Come non darti ragione... Ma chi si premunirà per tempo?
grazie per le tue mail così tempestive, ma che versione di linux consigli?
Quale versione di Linux? Mah, io mi trovo bene con Mandrake: riconosce quasi tutti i componenti al volo, si configura facilmente. Ma e' una questione di fortuna: dipende dall'hardware che hai. Per questo alla fine ho scelto Mac per il laptop, Linux per il server e Windows per la macchina di scorta.
Dire che passare a Linux equivale a stare in una botte di ferro è una menzogna. Dire la stessa cosa del Mac è ignoranza.

Se Mac e Linux avessero la diffusione che ha Windows oggi, ci sarebbero tante falle quante ce ne sono in Windows, se non di più. Gli hacker non si danno da fare per trovare vulnerabilità in sistemi operativi che sono usati solo dal 6% dei computer nel mondo.

Stesso discorso per la questione Firefox vs IE. Davvero il primo è più sicuro del secondo?

Ora, io non lavoro per la Microsoft, non vengo pagato per dire certe cose, ma sono dell'opinione che il Microsoft-bashing incondizionato (à la "Micro$oft sucks") sia caratteristica tipica dei newbie, dei troll, o dei marxisti. Sì, perché ci sono tendenze marxiste nell'open source.
Tendenze marxiste? Lottare contro un monopolio e favorire la nascita della concorrenza e' marxista? Non lo sapevo.

> Dire che passare a Linux equivale a stare in una botte di ferro è una
menzogna. Dire la stessa cosa del Mac è ignoranza.

la botte di ferro in informatica non esiste. Esistono gradi di sicurezza relativa. La sicurezza relativa di Windows e' inferiore a quella delle altre piattaforme. Il Mac, gia' in configurazione di default, e' firewall-ato; Windows pre-SP2 no. Windows+IE hanno ActiveX auto-eseguibile. Mac e Linux no.

Credo sia indiscutibile che allo stato attuale, chi usa Mac o Linux ha un grado di sicurezza relativa nettamente superiore. E' ovvio che anche Mac e Linux si possono bucare, ma e' necessario un attacco mirato: non basta un worm qualsiasi come avviene per Windows.

>Se Mac e Linux avessero la diffusione che ha Windows oggi, ci sarebbero tante
falle quante ce ne sono in Windows, se non di più.

Il giorno che ci sara' questa pari diffusione e Mac e Linux risulteranno altrettanto fallati, saro' il primo a fare ammenda. Fino a quel lieto giorno, la tua e' solo teoria.

> Gli hacker non si danno da
fare per trovare vulnerabilità in sistemi operativi che sono usati solo dal 6%
dei computer nel mondo.

Non e' esatto. Primo, non sono "hacker" (forse non hai presente il significato non giornalistico del termine). Secondo, un aggressore tendera' a concentrarsi sul bersaglio piu' grosso ma anche sul piu' facile. Terzo, spiegami come mai Apache, che regge oltre il 60% dei siti Web, non viene bucato facilmente tanto quanto IIS. Eppure sarebbe un bersaglio ghiotto.

>Stesso discorso per la questione Firefox vs IE. Davvero il primo è più sicuro
del secondo?

Vai su Secunia e fai la conta delle vulnerabilita' dei due, ti risponderai da solo.

FF e' immune ai dialer, e scusa se e' poco.

Ciao da Paolo.
> Credo sia indiscutibile che allo stato
> attuale, chi usa Mac o Linux ha un grado
> di sicurezza relativa nettamente superiore.

Io credo di no.
Per chi crede di no, ecco i dati aggiornati di Secunia:

http://secunia.com/product/16/ XP: 60 advisories, 15 unpatched

http://secunia.com/product/22/ XP Pro: 66 advisories, 18 unpatched

http://secunia.com/product/11/ IE 6: 60 advisories, 19 unpatched

http://secunia.com/product/96/ mac OS X: 39 advisories, 5 unpatched

Non credo ci sia da aggiungere altro, i numeri parlano da soli.

Ciao da Paolo.
non entro in merito alla discussione "tecnica" non ne sarei capace (non sono un hacker nel senso di "smanettone") mi ha fatto solo sorridere il commento per il quale chiunque si opponga ad un monopolio abbia ad essere Marxista ed a giustificazione viene linkato (brutto termine lo so!) un commento di una università USA (!) per "loro" tutto quello che si oppone al business a tutti i costi è marxista.....
ma l'inteligenza può essere considerata un valore ??
ciao a tutti - Claudio
il sospetto che ci siano operatori di querrilla marketing in questo tipo di situazioni è forte....

considerazione personale : non è il numero di macchine installate a determinare l'elaborazione di attacchi.
esempio :quante macchine collegate ad internet montano processori amd64?
per il momento pochi, solo i modelli di punta. percentuale sul parco macchine..diciamo 0,5 %
eppure gia esiste un virus che infetta applicativi per macchine a 64 bit.

è il desiderio di sfida a spingere appassionati a trovare gli exploit, ed è l'avidità che spinge squallidi lamer a sfruttare queste falle.


considerazione numero due :

sun, ibm (la quale pare abbia vendute macchinari per l'elaborazione dati al regime nazista, secondo le accuse di discendenti di deportati nei lager..)sony, hp, novell, e molti altri sarebbero un covo di marxisti?
hp ha ricavato oltre 2 miliardi di dollari nel 2003 con la vendita di macchine linux...sono marxisti anche loro?
parlar male di microsoft non significa essere marxisti .