Trend Micro, fornitore di software e servizi per la protezione dai virus di rete e per la sicurezza dei contenuti Internet, ha annunciato la disponibilita' di eMail Id, un tool progettato per offrire maggiori garanzie sulla legittimita' dei messaggi email ricevuti. La soluzione e' disponibile nella versione trial gratuita sul sito www.trendsecure.com. eMail Id verifica per ogni e-mail ricevuta l'identita' della persona che ha spedito il messaggio: in questo modo l'utente puo' identificare rapidamente i messaggi legittimi fidandosi quindi del loro contenuto. Per maggiori informazioni:

http://www.trendsecure.com/portal/en-US/tools/security_tools/emailid

Come da post precedente...ulteriori dettagli.
----------------------------------------------------------------------------------------------------------------------------------------------------------

Codici exploit "Proof of Concept" (PoC) per una nuova vulnerabilità scoperta nel player Apple QuickTime sono stati resi disponibili pubblicamente in rete su "milw0rm", popolare database di codici exploit; lo ha segnalato Symantec in un post dedicato sul blog ufficiale del suo team Security Response. La vulnerabilità - Apple QuickTime RTSP Response Header Content-Length Remote Buffer Overflow Vulnerability – era stata segnalata originariamente 3 giorni fa dal ricercatore di sicurezza polacco Krystian Kloskowski (aka "h07").

Il codice exploit rilasciato pubblicamente è stato testato come funzionante sull'ultima versione stand-alone QuickTime player (v7.3). Al momento, secondo Symantec, gli scenari di attacco che più probabilmente potrebbero emergere in-the-wild saranno basati sia sulla posta elettronica sia sui web browser.

In uno scenario di attacco "e-mail" l'utente riceve un messaggio di posta nocivo con un allegato che include un file con estensione associata in maniera predefinita a QuickTime Player (per esempio .mov, .qt, qtl., gsm, .3gp, etc). L'allegato non è effettivamente un file multimediale, bensì un file XML che forza il player ad aprire una connessione RTSP sulla porta 554 verso un server nocivo che ospita l'exploit. Quando QuickTime Player contatta il server remoto, riceve una risposta malformata RTSP che causa il sovraccarico del buffer e l'esecuzione immediata di eventuale codice shell da parte dell'attacker.

Per essere condotto con successo, questo tipo di attacco necessita che l'utente esegua con doppio clic sull'allegato multimediale QuickTime. È importante notare che questo attacco potrebbe funzionare anche con altri formati multimediali comuni come mpeg, .avi e altri tipi MIME associati al player QuickTime. In uno scenario per web browser invece, l'attacco molto probabilmente sarà inizializzato tramite un URL hyperlink inviato all'utente. Quando si clicca sulla URL il browser carica una pagina che include un oggetto streaming QuickTime. L'oggetto esegue una connessione RTSP al server malizioso sulla porta 554 e il codice exploit viene inviato come risposta.

Symantec ha testato l'exploit su alcuni dei principali web browser e ha verificato che con Internet Explorer 6/7 e Safari 3 Beta l'attacco viene bloccato. Il browser infatti carica in questo caso QuickTime Player come plug-in interno e quando si verifica il sovraccarico vengono eseguite alcune procedure standard di protezione contro i buffer overflow che chiudono i processi affetti prima che possano essere fatti danni tramite il codice exploit. Gli utenti di Firefox sono, secondo Symantec, più a rischio di attacco, perché il browser open-source gira le richieste direttamente a QuickTime Player come processo separato fuori dal suo controllo. Come risultato, l'attuale versione dell'exploit funziona perfettamente contro Firefox se gli utenti hanno scelto QuickTime come player predefinito per i formati multimediali.

Attualmente non sono disponibili patch da parte di Apple per risolvere la vulnerabilità. Symantec suggerisce a tutti gli utenti di bloccare le connessioni in uscita sulla porta TCP 554 tramite firewall in modo da ridurre il rischio di attacco ed impedire l'esecuzione dei link verso i siti nocivi.

Anche Secunia, nota azienda di security monitoring, ha pubblicato un advisory dedicato alla nuova vulnerabilità, ed ha classificato la problematica di sicurezza come "estremamente critica" (il massimo livello di pericolosità del sistema di rating della società danese). Secondo Secunia la vulnerabilità è causata da un "boundary error" che si verifica durante il processing delle risposte RTSP, e che permette di eseguire un exploit e causare un sovraccarico del buffer stack-based tramite l'utilizzo di risposte RTSP modificate ad arte e contenenti un header "Content-Type" eccessivamente lungo.

Fonte:tweakness

In un documento pubblicato all'inizio del mese, due ricercatori israeliani hanno spiegato di aver ricostruito il funzionamento del generatore di numeri "pseudo-casuali" di Windows 2000. Grazie ad un'attività di "reverse-engineering", i due avrebbero messo a punto un sistema che consente di decifrare file e cartelle protetti con la funzionalità di crittografia integrata in Windows. Il sistema operativo e le applicazioni utilizzano lo "pseudo-random number generator" (PRNG) per creare chiavi crittografiche in modo casuale. Queste stesse chiavi vengono poi impiegate per cifrare file, messaggi di posta elettronica e per l'utilizzo del protocollo SSL (Secure Socket Layer).
Forzando l'algoritmo PRNG, i due israeliani sostengono di essere riusciti nel predire le chiavi future e quelle create in passato. "Sempre più aggressori stanno studiando nuove metodologie per acquisire diritti amministrativi senza l'autorizzazione del proprietario della macchina", ha osservato uno dei due ricercatori. "Combinando più tipologie d'attacco differenti che permettano di guadagnare illecitamente l'accesso ad una macchina vulnerabile - ad esempio la falla relativa alla gestione degli URI, risolta pochi giorni fa - un aggressore potrebbe riuscire a decifrare file o mettere in chiaro dei dati scambiati con uno più sistemi in Rete".
Microsoft ha per il momento ridimensionato la gravità del problema: "per il momento non abbiamo rilevato alcuna vulnerabilità di sicurezza. In tutti i casi descritti, le informazioni sono visibile solo da parte degli utenti autorizzati o di altri utenti collegati al sistema locale con diritti amministrativi". Bill Sisk (Microsoft) ha poi aggiunto: "poiché gli amministratori, per definizione, possono accedere a tutti i file ed a tutte le risorse disponibili sul sistema, ciò non rappresenta un problema".
Symantec, da parte sua, assume una posizione intermedia: Erik Kamerling, analista presso la società di Cupertino, ha bollato i rischi descritti dai due israeliani come "moderatamente elevati".
"Un aggressore deve prima riuscire a guadagnare l'accesso sulla macchina oggetto d'attacco", ha osservato Kamerling. Successivamente il malintenzionato deve effettuare tutta una serie di attività per riuscire a guadagnare le chiavi generate sul sistema. "Uno scenario alquanto complicato", ha concluso l'esperto di Symantec ammettendo tuttavia che la nascita di tool automatizzati potrebbe rappresentare un grave problema snellendo di fatto la procedura d'attacco.
Microsoft ha comunque fatto presente che è prevista un'ottimizzazione dell'algoritmo PRNG. E' possibile che un aggiornamento venga veicolato in un prossimo Service Pack.

Fonte:ilsoftware

Avete dei dubbi su un file appena scaricato (magari uno .zip o .rar) controllatelo on-line non fa mai male un po' di sana paranoia:

http://www.virustotal.com/it/

Microsoft ha annunciato che il 13 Novembre prossimo rilascerà 2 nuovi bollettini di sicurezza con relative patch per correggere almeno 2 vulnerabilità isolate nei suoi software. Gli update rientrano nel programma mensile di aggiornamento di protezione dei suoi prodotti, fissato per il secondo Martedì di ogni mese.

Questo mese si contano solo 2 bollettini di sicurezza, 1 critico ed 1 importante, relativi entrambi al sistema operativo Windows. Secondo il sistema di rating del colosso del software, un problema di sicurezza è "critico" quando consente la realizzazione di un worm o altro codice nocivo in grado di diffondersi o attaccare senza richiedere intervento dell'utente. I problemi "importanti" invece si riferiscono alle vulnerabilità che possono essere sfruttate per compromettere la riservatezza, l'integrità e la disponibilità di dati e risorse di processing. Per quanto riguarda gli aggiornamenti non relativi alla protezione, Microsoft renderà disponibili anche 3 aggiornamenti ad alta priorità su Microsoft Update e WSUS.

Il primo bollettino critico correggerà una falla di Remote Code Execution (RCE) isolata solo in Windows XP (SP2 e x64) e Server 2003 (SP1, SP2 e x64). Il secondo bollettino importante, legato ad una falla di Spoofing, interesserà Windows 2000 SP4 e Server 2003 (SP1, SP2 e x64). Entrambi i problemi di sicurezza non affliggono invece il nuovo sistema operativo Windows Vista.

La prima patch critica potrebbe essere relativa al problema di sicurezza in Macrovision Safedisk che risiede nel driver secdrv.sys. Abbiamo parlato di questa vulnerabilità in una news dedicata, segnalando il rilascio del Security Advisory (944653) da parte di Microsoft. La patch per la vulnerabilità di Spoofing "importante" dovrebbe invece essere la stessa annunciata già per Ottobre ma poi rimandata dal colosso (non venne rilasciata in occasione del Patch Day di Ottobre).


Il prossimo "Patch Day" di Novembre 2007 includerà:

• 1 Bollettino Critico per Windows XP (SP2 e x64) e Server 2003 (SP1, SP2 e x64). MBSA.
• 1 Bollettino Importante per Windows 2000 SP4 e Server 2003 (SP1, SP2 e x64). MBSA.

• Aggiornamento per il Malicious Software Removal Tool su WU, Download Center, MU, e WSUS
• 3 Aggiornamenti NON-SECURITY High-Priority su Microsoft Update (MU) e WSUS

MBSA = Rilevabile con Microsoft Baseline Security Analyzer - EST = con Enterprise Scan Tool

Fonte:tweakness