Un bug in Windows coinvolge Internet Explorer, Safari e Chrome

Sono passate nove settimane è stata pubblicata la dimostrazione di come sfruttare un bug in CrptoApi – una libreria usata da Internet Explorer, Chrome e Safari per la gestione dei certificati Ssl – e ancora non c’è in vista una patch.

“Ci sono migliaia di prodotti che girano sotto Windows che, proprio in questo momento, sono ancora vulnerabili a questo attacco Ssl” ha spiegato Moxie Malinkspike, uno degli hacker che hanno scovato la vulnerabilità e messo pubblicamente in guardia Microsoft durante la Black Hat Security Conference.

In pratica il bug può essere usato per far credere al browser che si sta usando un certificato Ssl per accedere al legittimo sito cui è collegato, mentre in realtà ci si connette a un sito fraudolento.

Per ora Microsoft ha fatto soltanto sapere che sta “investigando su una possibile vulnerabilità” e che “prenderà le misure necessarie per proteggere i clienti” quando avrà concluso.

Finché Microsoft non avrà rilasciato una patch è consigliabile usare un browser alternativo come Firefox: il team di Mozilla ha risolto la vulnerabilità già pochi giorni dopo la sua rivelazione.

Da sottolineare che i browser Opera e Lynx non sono soggetti a tale bug in quanto non utilizzano Crypto-Api per i certificati SSL; mentre Mozilla ha fixato l’anomalia subito.

Fonte: ZeusNews

Mozilla forgia uno scudo antiXSS

Talvolta l’uso di un firewall e di un buon antivirus non è sufficiente a proteggere i PC dalle minacce che provengono da Internet, soprattutto quando queste minacce prendono di mira le debolezze presenti sui siti web: in questi casi le protezioni più efficaci sono quelle offerte dal browser.

È per tale ragione che Mozilla sta lavorando all’implementazione, in Firefox, della specifica Content Security Policy (CSP), un framework studiato per proteggere i siti – e di conseguenza anche gli utenti finali – dai famigerati attacchi Cross-Site Scripting (XSS). Stilata lo scorso anno, la specifica CSP è appena entrata a far parte di alcune build preliminari di Firefox, e la sua efficacia può essere messa alla prova con i test pubblicati in questa pagina. CSP consente a webmaster e web designer di definire delle policy che stabiliscano in che modo un sito esterno può interagire con una certa pagina web: ad esempio, gli amministratori di un sito possono restringere il tipo di script eseguiti sulle loro pagine e le fonti da cui questi provengono; nel caso più drastico, possono anche scegliere di disattivare del tutto l’esecuzione di codice JavaScript. Tali accorgimenti, secondo Mozilla, possono contribuire a ridurre in modo determinante il numero di attacchi XSS e Cross Site Request Forgery (CSRF) con cui i cracker tentano ogni giorno di sottrarre informazioni sensibili agli utenti o inoculare malware nei loro PC. Brandon Sterne, security program manager di Mozilla, ha spiegato in questo post che il suo team ha trascorso gli ultimi mesi a tradurre la specifica CSP in codice.

Tale codice è ora stato integrato in alcune versioni sperimentali di Firefox 3.7, così che sviluppatori, esperti di sicurezza e amministratori di server possano cominciare a testarlo e fornire il proprio feedback. Sterne avverte però che questa prima implementazione di CSP è ancora incompleta, e manca ad esempio del supporto agli HTTP redirect. “Siamo entusiasti di aver ricevuto così tanti feedback positivi dagli altri vendor di browser, dagli amministratori di siti web e dai ricercatori di sicurezza, e siamo davvero orgogliosi del design scaturito da questo confronto”, ha commentato Sterne. L’esperto di sicurezza di Mozilla non ha fornito alcuna stima sui tempi necessari a completare l’implementazione di CSP. L’ipotesi più plausibile è che tale tecnologia entrerà a far parte delle versioni pubbliche di Firefox entro il rilascio della futura release 4.0, il cui debutto è previsto tra circa un anno.

Fonte: PUNTO-INFORMATICO