Security patches per tutti i gusti

security patchLa scorsa settimana è stata veramente ricca di aggiornamenti di sicurezza per numerose software houses, vediamo cos’è successo.

Iniziamo con la Apple che, con il rilascio di Safari 4.0, l’8 giugno ha realizzato un mega aggiornamento di più di 50 (cinquanta!) patch di sicurezza per il proprio browser, alcune delle quali segnalate come estremamente critiche.

Per carità, è ottimo che tutte queste falle vengano corrette, ma se sono così numerose (e lo sono, anche se non proprio così fortunatamente, ormai da un paio d’anni) è perché molti dei software della Apple (QuickTime, Safari e iTunes in primis) sono scritti male, da un punto di vista della sicurezza. E questo purtroppo è un fatto assodato, di cui peraltro avevamo già parlato qualche mese addietro.

Particolarmente importante ed interessante è una patch che dovrebbe rendere più difficili i cosiddetti attacchi di clickjacking che consistono nel indurre un utente ad eseguire uno o più click su una pagina web apparentemente innocente quando invece i click vengono catturati da una pagina sottostante e nascosta (grazie ad IFRAME e alcuni attributi CSS).

Proprio nelle ultime ore è stato anche finalmente rilasciato un aggiornamento per Java su Mac che corregge, tra l’altro, una vulnerabilità molto critica della JVM patchata da Sun già sei mesi fa.

Da inizio giugno circolano in rete diversi exploit (per Windows e Mac OS X) per i software della Mela.

iTunes fino alla versione 8.1.1.10 permette ad un attaccante di eseguire codice arbitrario su un sistema a causa di una errata gestione del protocollo iTMS. Chi fosse interessato ad analizzare le fasi di sviluppo dell’exploit per comprenderne le dinamiche di funzionamento, può fare riferimento a questo post di Matteo Memelli.

Safari fino alla versione 3.x permette ad un attaccante di carpire qualsiasi file dal sistema della vittima (per cui l’utente sotto cui Safari è eseguito ha accesso in lettura).

QuickTime fino alla versione 7.6.1 soffre di alcuni attacchi DoS, uno dei quali funzionante ancora su Windows nell’ultima versione disponibile, la 7.6.2.

Chi deve aggiornare il proprio sistema lo faccia in fretta, quindi.

Fa ben sperare per il futuro l’assunzione in Apple dell’ex security guru del progetto OLPC: Ivan Krstić, personaggio veramente in gamba. Non resta che augurarsi che Snow Leopard, da poco presentato al WWDC, porti con se un codice scritto in modo più sicuro e più efficienti meccanismi di protezione della memoria di sistema, come l’ASLR (implementato veramente male in Leopard).

Martedì 9 giugno è stato invece il turno di altre due grandi software house: Microsoft e Adobe.

La prima è notoriamente solita rilasciare aggiornamenti il secondo martedì del mese nel cosiddetto Patch Tuesday e questa volta è stato uno dei più ricchi: ben 10 bollettini di sicurezza che comprono un totale di 31 vulnerabilità in Windows, Internet Explorer e Office. Cinque dei dieci bollettini sono valutati come “Critical”, ovvero il massimo della rischiosità.

Non sto qui a dettagliare ciascun bollettino, per alcuni dei quali è disponibile una dettagliata descrizione tecnica sul blog Security Research & Defense della Microsoft, ma mi limiterò a fare un sunto dei più significativi.

MS09-019 patcha 8 vulnerabilità in Internet Explorer, una delle quali è quella famosa falla che permise a Nils al contest Pwn2Own di febbraio di violare una macchina con Windows 7 attraverso IE8.

MS09-020 riguarda invece Internet Information Services (IIS), il Web server di BigM, e corregge una vulnerabilità nel supporto WebDav che vi avevo già segnalato tre settimane fa e che permette di bypassare certe autenticazioni.

MS09-023 sistema una falla in Windows Search che causava l’esecuzione automantica di pagine HTML (e relativo codice di scripting interno) senza bisogno del permesso dell’utente. Qua per maggiori dettagli.

MS09-024 sistema una vulnerabilità nei convertitori di testo di Microsoft Works per i file WPS. Qui per maggiori dettagli.

MS09-026 riguarda l’interfaccia RPC di Windows (che in passato aveva già dato enormi problemi), in particolare nel Marshalling Engine NDR20 e nel modo in cui certe applicazioni possono definire lo stile della struttura dell’interfaccia RPC e l’uso di array variabili.

Fortunatamente questo stile non è molto comune e in particolare non è mai usato da nessun componente su nessuna versione di Windows. Ciò non toglie che un programmatore potrebbe usarlo nel suo software e rendere vulnerabile un sistema, quindi Microsoft ha fatto bene a sistemare il problema. Qui per maggiori dettagli.

Restano poi il bollettino MS09-018 che riguarda due falle nel supporto Active Directory su Windows, MS09-021 sistema sette falle in Excel, MS09-022 sistema tre vulnerabilità nel Windows Print Spooler, MS09-025 che patcha due falle nel kernel di Windows che potrebbero permettere ad un attaccante di ottenere, in locale, ma non da remoto, i privilegi di SYSTEM e MS09-027 che risolve due falle in Microsoft Word.

Abbiam detto che anche Adobe ha rilasciato numerosi aggiornamenti martedì scorso. Sono state infatti sistemate 13 vulnerabilità critiche in Adobe Reader 9.1.1 e Acrobat 9.1.1 per Windows e Mac (gli aggiornamenti per Linux sono attesi per oggi), i famosi software (il primo a pagamento, gratuito il secondo) per le gestione dei file PDF.

Questo è stato il loro primo aggiornamento trimestrale programmato, segno che anche Adobe sta percependo la necessità di una più seria politica di sicurezza informatica. Da febbraio ha anche ufficialmente iniziato un programma di secure code development (cosa che Microsoft ha dal 2004 ed Apple, come molti altri, non mi risulta ancora abbia).

Ricordo che nei mesi passati sono comparsi in rete diversi exploit pubblici per i reader PDF di casa Adobe. Considerando la pervasività di tale prodotto e il fatto che è spesso eseguibile in automatico da un sito web attraverso il browser, lo rendono un bersaglio molto allettante per i malintenzionati per compromettere un sistema e magari trasformarlo in un computer zombie parte di una botnet.

Brad Arkin, direttore della sezione sicurezza e privacy per i prodotti Adobe, afferma: “Una delle nostre aree d’interesse è continuare a spingere gli utenti di assicurarsi di essere in possesso delle patch più recenti disponibili.”

Thomas Kristensen, CTO di Secunia, rinforza in concetto: “Qui il vero problema è che troppi utenti e aziende hanno ancora l’ingenua convinzione che basti aggiornare il proprio antivirus o le altre suite di sicurezza per rendere sicuro il proprio sistema. Ma questo è, sfortunatamente, assai sbagliato.”

Infatti tali tipi di protezioni sono infatti quasi sempre totalmente inefficaci contro un exploit di una vulnerabilità del browser, dei suoi plugins o di altro software di terze parti (o anche del sistema operativo stesso, che però può talvolta salvarsi con un firewall ben configurato).

Certo poi le aziende ci devono mettere del loro scrivendo del buon codice, non ci si può barricare dietro la scusa del non-esiste-un-programma-esente-da-bug.

È toccato poi a Google rilasciare un aggiornamento di sicurezza per il suo browser Chrome, afflitto da due vulnerabilità nel motore suo motore di rendering WebKit.

Una delle due falle può permettere ad un attaccante di eseguire codice arbitrario all’interno della sandbox del browser, caratteristica di sicurezza, tra i browser, tipica di Chrome. Proprio grazie a questa feature un attaccante non potrà fare molto contro il sistema della vittima, a meno che non si trova un modo, tutt’altro che semplice, per evadere dalla sandbox.

Su tutto il resto, è stato questo meccanismo a rendere inviolato Chrome al contest Pwn2Own.

Infine concludo con Firefox, a cui è toccato ricevere l’aggiornamento 3.0.11 che corregge 9 falle di sicurezza, quattro delle quali catalogate come critiche.

Giusto per la cronaca ricordo che NoScript e simili non servono assolutamente per difendersi dalla maggior parte degli exploit contro un browser (a meno che la falla non risieda nella errata gestione del codice JavaScript, che evidentemente non verrà eseguito).

Insomma, ce n’è un po’ per tutti. L’importante è che le software house si impegnino nel correggere nel più breve tempo possibile le problematiche di sicurezza e che maturi in loro e negli utenti un maggiore senso di responsabilità e di cognizione dell’importanza della sicurezza informatica.

Penso sia a questo punto evidente come stia diventando sempre più difficile per gli amministratori di sistema tenere traccia di tutti questi update di sicurezza, soprattutto quando improvvisi e non precedentemente programmati.

A questo proposito, sono in molti gli esperti di sicurezza che auspicano un maggiore coordinamento tra i vari produttori software per la creazione di una Patch Week in cui ciascuno rilascia i propri aggiornamenti di sicurezza.

Chissà se riusciranno a mettersi tutti d’accordo per una giusta causa…

Press ESC to close