Cerca nel blog

2009/03/06

Aggiornamenti e falle per Firefox, Microsoft e Acrobat

Rattoppi e buchi un po' per tutti, occhio ai PDF


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

È un periodo intenso di vulnerabilità e di rattoppi generali. Firefox è uscito da poco con la versione 3.0.7, che sistema cinque falle, tre delle quali erano classificate come critiche, e corregge alcuni problemi di stabilità e di gestione della memoria. I dettagli sono descritti qui sul sito ufficiale. L'aggiornamento è di norma automatico.

Anche Thunderbird, il popolare programma di posta, si rattoppa perché condivide parte del proprio codice con Firefox: i suoi utenti possono rimediare usando l'aggiornamento alla versione 2.0.0.21, per ora disponibile solo tramite scaricamento manuale ma prossimamente disponibile anch'esso in automatico.

Tornando ai browser alternativi, anche chi usa Opera si deve aggiornare, alla versione 9.64, perché il browser aveva una falla che permetteva a un'immagine JPEG appositamente confezionata di mandarlo in crash, spianando la strada agli aggressori.

In casa Microsoft ci si prepara invece al consueto aggiornamento mensile, il patch Tuesday, che stavolta prevede correzioni per Windows 2000, XP e Vista, nonché Server 2003 e 2008, per via di falle che Microsoft definisce in un caso "critiche", perché consentono l'esecuzione remota (ossia permettono a un aggressore di prendere il controllo del PC della vittima). Resta aperta la falla di Microsoft Excel che permette la stessa presa di controllo tramite un file Excel ostile.

Allegati a rischio anche per chi usa il formato PDF, e in un modo particolarmente insidioso e per ora non riparabile: Adobe Acrobat e Reader hanno una falla che sotto Windows permette di infettarsi anche senza aprire il documento infetto: è sufficiente lasciare il mouse qualche istante sopra l'icona del file PDF ostile oppure selezionarlo. La patch di correzione sarà pronta intorno all'11 marzo, secondo Adobe. Nel blog di Didier Stevens c'è un video con annotazioni tecniche che spiegano il meccanismo di azione di un esempio di PDF ostile che sfrutta questa vulnerabilità.

29 commenti:

dyk74 ha detto...

Da quello che ho capito dal filmato bisogna comunque fare UN click sul documento PDF cosicche' Windows cerchi di accedere alle informazioni del file e in tal modo infettare il PC e (sempre da quello che ho capito) il PDF e' solo il veicolo per infettare il PC ma la vera vulnerabilita' e' nella Windows Explorer Shell Extensions, allo stesso modo l'infezione avviene cercando di vedere il THUMBNAIL e le informazioni con il tasto destro...

CIAO CIAO

CIAO CIAO


CIAO CIAO

PTendas ha detto...

Da quello che ho capito dal filmato bisogna comunque fare UN click sul documento PDF cosicche' Windows cerchi di accedere alle informazioni del file e in tal modo infettare il PC e (sempre da quello che ho capito) il PDF e' solo il veicolo per infettare il PC ma la vera vulnerabilita' e' nella Windows Explorer Shell Extensions, allo stesso modo l'infezione avviene cercando di vedere il THUMBNAIL e le informazioni con il tasto destro...

Il che significa che uno non può neanche cliccarci sopra per cancellarlo in sicurezza...

dyk74 ha detto...

@PTendas: c'e' sempre il DOS... ;-)

Emanuele Ciriachi ha detto...

Bellissimo il lolcat...

Dan ha detto...

Mamma mia, ma di questo passo basterà sentir parlare di un virus per prenderlo... (e io passerò a Linux sul serio..)
E' una mia impressione o queste vulnerabilità diventano sempre piùgravi? Una volta si doveva stare attenti a non scaricare ed eseguire gli EXE e poco più, adesso basta visualizzare una JPG o cliccare su un PDF per fare danni!

Pix ha detto...

La soluzione è non usare Acrobat (che, tra l'altro, è terribilmente pesante) ma usare un'alternativa come FoxIt

Axel DominatoR ^^^ HC ha detto...

dyk74:
A quanto pare non serve neanche fare un clic. Basta passare con il puntatore sopra il file. Per chi se la cava con l'inglese ci sono delle risorse QUI.

Andrea Sacchini ha detto...

Un quadro desolante. Peggio di quello tracciato ieri da Tremonti... :-)

arciblog ha detto...

una domanda da ignorante: io, sul computer di casa, sono passato da qualche tempo a linux ubuntu, le falle di mozilla mi devono preoccupare?
tutti midi dicono che linux non corre questi rischi ma io ho ancora la paranoia dei tempi di windoz (che peraltro poi uso lo stesso su altre macchine, come ora in ufficio)

MacMan ha detto...

@arciblog: sì ti devono preoccupare, ma non così tanto come dovresti se fossi in Windows.

Questo per due motivi:
1) Ci sono meno exploit in giro per gli utenti Linux desktop: gli utenti Windows non patchati sono molto i più e molto più facili da colpire, i cracker puntano di più a loro;

2) A meno che non usi sudo, le applicazioni che avvii in Linux girano con i privilegi dell'utente "standard", non con quelli di amministratore come la stragrande maggioranza degli utenti Windows. Un eventuale exploit il massimo danno che può fare è limitato all'utente colpito non a tutto il sistema... Tra parentesi anche gli utenti Vista che non hanno disattivato l'Account Control hanno questo tipo di protezione. Una delle poche autentiche migliorie rispetto a XP, e una delle feature più odiate di Vista!

Vorrei comunque sottolineare che non è vero che Linux è più sicuro perché è Open Source o sempliemente perché non è Windows.
Un sistema Linux ben mantenuto è più sicuro perché eventuali debolezze vengono scoperte e patchate più velocemente. Ubuntu ad esempio ha aggiornamenti diverse volte alla settimana, non una volta al mese... :-)
Un bug come quello nell'Adobe Reader potrebbe benissimo verificarsi anche in applicazioni Open Source. Solo che una volta scoperto verrebbe patchato in poche ore non in poche settimane!

arciblog ha detto...

grazie MacMan, quindi devo preoccuparmi ma, facendo attenzione agli update, non molto.
adesso sarò più attento all'iconcina degli aggiornamenti che, devo dire, col suo comparire due volte la settimana mi era diventata noiosa... ma anche nella mia ignoranza sospettavo ci fosse una ragione
;-)
grazie ancora

gelty ha detto...

Un eventuale exploit il massimo danno che può fare è limitato all'utente colpito non a tutto il sistema...

Ecco, questa cosa va valutata per bene. E' vero che un eventuale exploit fa danni solo nella propria home, ma per te cos'e' piu' importante: i tuoi dati o il tuo sistema?
Sicuramente il vantaggio di cui si parla e' molto utile sui server, che non vanno giu' se qualcuno penetra in qualche servizio, ma se qualcuno penetra nel mio PC e mi cancella tutta la home, posso solo accendere un cero a S. Backup, pregando che il restore funzioni.
Per me sono molto piu' importanti i miei dati (magari mesi di lavoro su un progetto) piuttosto che una giornata persa a formattare la macchina.
PS: parlo da Fedora user.

MacMan ha detto...

@gelty
hai perfettamente ragione, ma qui la scelta è tra perdere tutti i propri dati, oppure perdere tutti i propri dati *più* l'integrità del sistema... :-)

Conta anche che realisticamente la minaccia più grande all'integrità dei miei dati è l'inaffidabilità dell'hw, seguita a ruota dalla mia idiozia (perché se mi viene in mente di fare cd && rm -rf non c'è aggiornamento in grado di proteggere i miei file!).

Quindi direi che quando penso alla protezione del mio PC da attacchi esterni, la mia priorità è impedire che vengano acquisiti i privilegi di super-utente. La protezione dei miei dati è in un diverso ambito secondo me (e qui la soluzione è facile: il San Backup che anche tu citi).

Pippolillo ha detto...

Ma Google Chrome che fine ha fatto? Mai più sentito parlarne dopo il lancio l'anno scorso.
Sarà immune da tutti questi guai? Non credo proprio.

ataru1976 ha detto...

Paolo, solo una precisazione: a me risulta che Thunderbird sia ancora alla versione 2.0.0.19 e non ho trovato tracce nemmeno di una eventuale versione 2.0.0.20

Axel DominatoR ^^^ HC ha detto...

Altro punto da osservare per quanto riguarda la sicurezza di un'applicazione in ambito windows e linux ( e altri sistemi operativi ).

Se prendiamo un'applicazione che gira su windows e linux, anche a parita' di versione in realta' gli eseguibili e le chiamate a sistema saranno molto diverse tra di loro. Questo significa che un eventuale "cracker" dovrebbe fare, praticamente, doppio lavoro.

Mi spiego meglio:
una volta trovata la falla all'interno dell'applicazione, bisogna scrivere del codice per sfruttarla. Questo codice sara', nella stragrande maggioranza dei casi, anch'esso dipendente dal sistema operativo e quindi sostanzialmente differente.
Il malevolo figuro, quindi, si troverebbe a perdere il doppio del tempo per avere una "seconda versione" dell'attacco in questione.

Secondo me questo fattore, unito alle motivazioni gia' elencate da voi qualche post piu' su, costituisce gia' un bel deterrente. Windows e' molto piu' diffuso di Linux, a questo punto se bisogna fare danni, e' meglio tentare di danneggiare il 90% dei pc piuttosto che il 5%, no? ( dati percentuali puramente casuali! )

My two cents

Iilaiel ha detto...

@Axel Dominator

Aggiungiamoci che la media degli utenti Win non sà nemmeno cosa voglia dire "sicurezza informatica".
La media degli utenti win è convinta che:

- per non prenere virsu basta avere l'antivirus installato
- se lo ho scaritocato io è per forza sicura, per cui perchè fargli una scansione antivirus?
- aprire ogni cacagata arrivata per mail, anche da mittenti sconosciuti, è cosa buona e santa.
- malware, spyware, etc... il mio pc li elimina a colpi di spirito santo.


Dopo una anno di mac al lavoro e linuxx a casa ho cambiato lavoro e sono tornata a lavorare in win... solo 2 cose:

- su vista le opzioni di sicurezza non doverebbero proprio poter venire disabilitate

- che strapalle i colleghi che sono convinti di sapere tutto sul pc e poi fanno danni (indovinate chi gli sistema le rogne?)

Spero proprio che in win 7 le impostazioni di sicurezza siano disabilitabili solo da dos shell... almeno chi le disabilita saprebbe cosa fà...

Paolo Attivissimo ha detto...

Ataru,

la 2.0.0.19 è la versione definitiva corrente. La 2.0.0.20 non esiste, è stata saltata.
La 2.0.0.21 verrà rilasciata a metà marzo ma è già disponibile come download sperimentale.

Ho aggiunto il link alla 2.0.0.21 e chiarito la frase, grazie.

Axel DominatoR ^^^ HC ha detto...

Iilaiel:

assolutamente daccordo. Proprio perche' l'utente standard non e' ( e non vuole ) diventare un tecnico specializzato, allora la Microsoft ha sbagliato , secondo il mio modesto parere, la progettazione di almeno un paio di funzionalita' del sistema operativo:

1) Autoplay.
2) Estensioni dei file nascoste.

Iilaiel ha detto...

@Axel Dominator

Ok io sono un utente linux, uno di quelli che conosce il proprio kernel come il palmo della mano e si commuove fino alle lacrime quando esce le nuova versione dei vanilla o dei gentoo sources.... sono maniacale lo so.

Io non pretendo che tutti si mettano a smanettare il kernel, sfrugugliare i dirve, fare branche di testing, ecc...

Vorrei solo che imparassero 4 cavolate base:

- firwall questo scono sciuto
- antivirus aggiornalo e fallo girare
- ant\spiware rootkit aggiornalo e fallo girare
- non accettare caramelle dagli sconosciuti.

Uno dei grandi problemi è COME sono impostati i corsi (sia professionali che scolastici) d'informatica. GLi inegnano a far macro, impaginazioni strafiche & co... però gli passano il concetto che il pc è inviolabile a prescindere e che la manutenzione non è necessaria in alcun modo.
Veramente... quando gli spieghi perchè succedono certe cose cascano dal pero e magari hanno fatto fior di corsi e contro corsi.

Io francamente non ce l'ho con l'autoplay o simili. Microsof è crticabile per molte cose, ma non è sua responsabilità formare gli utenti. La formazione sta alle scuole ed ai varsi corsi di informatica.

Axel DominatoR ^^^ HC ha detto...

Wow, Gentooista anche io :D

Se una persona acquista un'automobile, deve essere a conoscenza che richiede una certa dose di manutenzione. Per quanto possa essere ben costruita, l'olio ogni tanto bisogna cambiarlo assieme a filtri, gomme...

Nonostante questo ci sono persone che si recano con la propria vettura dal meccanico perche' "non funziona" ed il meccanico, incredulo, osserva che non e' mai stato neanche controllato il livello del liquido di raffreddamento. ( Scena vissuta di persona. Un'Opel Calibra Turbo con la testata praticamente bruciata perche' era stata utilizzata ad oltranza senza la minima manutenzione )

Effettivamente non serve criticare le case produttrici, il problema principale e' sempre quello tra la tastiera e la sedia, purtroppo.

:)

Giorgio Loi ha detto...

Gelty:
Ecco, questa cosa va valutata per bene. E' vero che un eventuale exploit fa danni solo nella propria home, ma per te cos'e' piu' importante: i tuoi dati o il tuo sistema?

Nella mia cartella dati ci sono anni di dati, almeno 10. Il sistema operativo lo reinstallo in mezza giornata, e magari è anche una buona occasione per fare un po' di pulizia nell'hard disk.

Direi che non c'è proprio il minimo paragone. ;)

Iilaiel ha detto...

@Axel Dominator

La questione è un po' diversa. L'automobilista medio sà che periodicamente deve andare dal meccanico per fare pulire i filtri, cambiare l'olio, bilancaire le gomme, ecc... infatti la maggioranza degli automoblisti lo fà (ok poi i casi patologici esistono).

Nel caso del computer viene insegnato che lo "accendi e và", senza ulteriori preccupazioni. Parlo ci quello che insegnano al corso medio ultra qualificante di compiuterre.

L'alternativa è il tapino che per ogni menata và dal tecnico e viene gabbato. Conosco un tizio che non usava l'antivrus "perchè tanto non serve e poi chi ma l'ha venduto dice basta che glielo porto ogni 3 mesi per un controllino". Di gente gabbata in questo modo ce ne è a tonnellate.

Ci vuol tanto ha rendere obbligatorio sia nelle scuole pubbliche, che nei vari costosi corsi, l'insegnamento dell'abc della sicurezza su win? Intendo qualcosa di più di "compra norton e sei aposto"!! Della serie butta via soldi.

Su win vista basterebbe spiegargli si installare calmwin (si è il porting del nostro caro clamav) + adaware + non disattivare MAI windows defender. No figurati... piuttosto ti insegnano a usare 101 modi scomodi di battere una lettera (i tabulatori questi sconosciuti).

Cambiando discorso: evvai finalmente qualcuno che non sia un ubuntaro su questi lidi!!! Io appena ho il tempo (leggi weekend di pasqua) mi faccio una partizioncina per provarmi anche bsd.

gelty ha detto...

Nella mia cartella dati ci sono anni di dati, almeno 10. Il sistema operativo lo reinstallo in mezza giornata[...]
Direi che non c'è proprio il minimo paragone. ;)


Appunto, e' quello che voglio evidenziare: in realta' il fatto che il sistema rimanga in piedi dopo che mi hanno compromesso la home, non e' che mi consoli piu' di tanto...

MacMan ha detto...

@gelty
Sì ma come ti dicevo più sopra, se ci tieni ai *tuoi* dati l'attacco informatico è l'ultimo dei tuoi problemi!

Più probabile che si pianti l'hard-disk o che un dato importante venga cancellato inavvertitamente. L'unica soluzione per tenere sicuri i propri dati è fare backup spesso e in modo intelligente.

La difesa dagli attacchi informatici serve a prevenire altri tipi di problemi, ad esempio:
- per impedire il PC che venga trasformato in "zombie" e venga pilotato dall'esterno per azioni poco pulite (spam, attacchi informatici ad altri siti);
- per impedire che un cracker "ascolti" le nostre azioni sul PC e rubi password e dati importanti (è una possibile via per il furto dell'identità);
- e, all'ultimo posto per utenti "normali" che non hanno server, per impedire che un servizio che gira sul proprio PC venga danneggiato o interrotto.

Axel DominatoR ^^^ HC ha detto...

Ultimamente la maggior parte degli HD esterni in commercio sono dotati un tasto "easy backup".
Credo che in questo modo anche gli utenti piu' "pigri" abbiano un incentivo in piu' per salvare i propri dati importanti di tanto in tanto.

Centinaia di persone mi hanno portato pc da riparare pregandomi di salvare i loro dati visto che il sistema operativo non partiva piu' per un motivo o per l'altro. In molti casi si e' potuto recuperare il tutto, in pochi altri invece l'hard disk era irrimediabilmente danneggiato.

Per un utilizzo da utente "normale", un hard disk esterno su cui salvare delle copie e magari un dvd masterizzato anche una volta al mese con le cose piu' importanti puo' andar bene, ma dipende certo dalla quantita' di dati che uno e' disposto a perdere.

La questione non e' *se* accadra' la tragedia, piuttosto *quando* accadra'. Meglio essere pronti, linux, windows, mac os o altro sistema operativo utilizzato.

Iilaiel:

BSD non e' niente male. Avevo usato per un po' FreeBSD qualche tempo fa ed era molto carino. I ports sono molto simili al portage Gentoo ( Gentoo in realta' ha copiato dai ports )

Giorgio Loi ha detto...

MacMan:
Sì ma come ti dicevo più sopra, se ci tieni ai *tuoi* dati l'attacco informatico è l'ultimo dei tuoi problemi!

Beh, insomma... se ti becchi un trojan the ti azzera l'hard disk o anche solo la cartella dati, lo diventa eccome un tuo problema!

E a quel punto, dire "beh, almeno non ho danneggiato la cartella di sistema" diventa una magrissima consolazione.

Iilaiel ha detto...

@Giorgio Loi

Guarda che il salvataggio dei dati è la parte più facile.

Puoi:

- farti un bel sistema raid
- back up su hhd esterno
- masterizzare un cd
- chiavi usb
- schede sd

Come dissi al mio ragazzo dopo che perse un anno di lavoro per non aver mai fatto back up: "se hai perso i dati è solo colpa tua, pirla!!

Una delle cose buone di Vista è proprio l'estrema semplificazione delle procedure di back up. 2 click e sei a post. Adesso anche gli utenti win non hanno più scuse.

Se un cracker o un troyan\virus\vattelapesca mi crocca la home non me ne può fregare di meno visto che ho tutti i back up.... se mi croccano il sistema mi girano assai. Visto il lavoro di taglia cuci e ottimizzazione che ci ho fatto mi rugherebbe reinstallare per ragioni diverse da un completo aggiornamento del sistema. Vabbe che poisu linux si fà il back up anche delle configurazioni di sistema....

Iilaiel ha detto...

scusate il doppio post

@Axel Domminator

Io ero partita con suse e non eero eccesivamente soddisfatta (troppa roba inutile, troppo bordello per tenere il sistema pulito), poi il mio sommo-geek-sensei mi ha linkato il sito di gentoo ed è stato amore a prima vista.
3\4 della gente mi dice che come niubba dovrei darmi a distro più umanamente accessibili.