Articoli

Un nuovo advisory di Emanuele Gentili mostra un dannoso “Google Gadget” in azione. La vulnerabilità risiede nella reale capacità di un utente malintenzionato di aggiungere gadget personalizzati su uno spazio di dominio separato, senza l’autorizzazione di Google.

La variante di attacco mostrato nel filmato può essere alterata per rubare i cookie, eseguire JavaScript arbitrario sul computer “vittima”, e potrebbe essere ulteriormente utilizzato per creare malware worm Google Gadget.
Sulla ricerca di questo argomento, abbiamo trovato riferimenti analoghi sulla stessa vulnerabilità che risalgono al 2007, riportato da Tom Stracener e Robert Hansen.

Anche se l’infrastruttura di Google è cambiata dal 2007, sembra che questa nuova variante di attacco sia ancora possibile.

Emgent scrisse un email a Google più di un mese fa ed è rimasta senza risposta.

La soluzione? Vigilanza ai massimi livelli .

Fonte

Charlie Miller, ricercatore nell’ambito della sicurezza di sistemi informatici nonché leggenda vivente, è pronto ad annunciare al mondo ben 20 falle di sicurezza presenti all’interno di Mac OS X. Utilizzando tali vulnerabilità, diventa possibile prendere il controllo totale della macchina attaccata, oltre che sottrarre dati e porre in essere attività di spionaggio.

Il dott. Miller (Ph.D. in Matematica presso la University of Notre Dame) ha scherzato sul fatto che gli utenti Mac siano poco oppressi da malware, spiegando che la ragione di tale libertà risiede prevalentemente nello scarso interesse che gli hacker nutrono nei confronti di un sistema operativo con bacino di utenza ristretto rispetto ai concorrenti.

Per rendere chiara la situazione, Miller ha usato la seguente metafora:

Mac OS X è come vivere in una fattoria in campagna senza neanche serratura, invece Windows è come vivere in una casa con sbarre alle finestre nel quartiere peggiore della città.

Con una nota via Twitter, Miller ha precisato che non approfondirà i dettagli delle 20 vulnerabilità ma soltanto come li ha scovati. La conferenza è programmata per la prossima settimana a Vancouver: uno dei tanti interventi di esperti all’interno del CanSecWest Vancouver 2010.

Fonte