Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2) : Apple Security

Apple raccomanda l'uso di software antivirus

Feliciano Intini — Fri, 28 Nov 2008 13:11:38 GMT

Finalmente Apple comincia a mostrare di voler prendere la sicurezza sul serio, e inizia ad abbandonare l'atteggiamento dello struzzo: Apple Recommends Antivirus Software Se leggete lo statement sul sito Apple... Apple encourages the widespread use of...(read more)

Attenti allo Scareware in aumento (a rischio anche gli utenti Mac)

Feliciano Intini — Mon, 20 Oct 2008 13:28:16 GMT

Da un po' di giorni mi passano sott'occhio una serie di articoli che hanno in comune il tema Scareware : ho pensato fosse utile riepilogarli in un post per aumentare la consapevolezza di questo fenomeno in costante aumento. Per chi ancora non lo sapesse,...(read more)

Gli attacchi DNS aiutano a colpire i meccanismi di aggiornamento online insicuri (per ora sono a rischio Sun Java, Winzip, Winamp, Mac OS X, OpenOffice, iTunes, Linkedin Toolbar, DAP, Notepad++, Speedbit)

Feliciano Intini — Tue, 29 Jul 2008 13:23:48 GMT

Avrei voluto intitolare questo post con "La rivincita di Windows Update", ricordando il post in cui avevo dovuto smontare le false accuse portate a Windows Update di poter essere un veicolo di infezione malware, ma non volevo darvi l'impressione...(read more)

Aggiornamenti vari a bollettini e advisory, su MS08-037 (DNS), WSUS, Apple Safari 3.1.2

Feliciano Intini — Fri, 11 Jul 2008 13:03:30 GMT

Volevo segnalarvi che sono stati effettuati in questi giorni una serie significativa di aggiornamenti alle diverse notifiche di sicurezza, ed è importante che ne siate a conoscenza: se siete interessati ai dettagli e alle evoluzioni delle singole...(read more)

A proposito di responsible o full disclosure: la prima vulnerabilità di Firefox 3 e il nuovo trojan per Mac OS X

Feliciano Intini — Tue, 24 Jun 2008 17:45:13 GMT

A ruota rispetto al post precedente in cui ho preso spunto da una vulnerabilità di Adobe , vorrei approfittare di altre due problematiche di sicurezza non in casa Microsoft per sollecitare un'altra questione importante, le politiche di condivisione...(read more)

Apple continua ad avere un approccio miope ed anacronistico sugli aspetti di Sicurezza

Feliciano Intini — Tue, 03 Jun 2008 14:28:29 GMT

Nella descrizione relativa al problema del browser Safari del Security Advisory appena pubblicato da Microsoft di cui vi ho parlato nel post precedente, i più aggiornati tra voi avranno riconosciuto l'accesa discussione di questi giorni sul problema "Carpet Bombing" (ZDNet: Why Apple must fix Safari ‘carpet bombing’ flaw immediately), uno dei 3 problemi segnalati ad Apple da Dhanjani.

Quello che sta scaldando la blogosfera è l'atteggiamento di Apple che accetta di considerare "vulnerabilità" solo 1 delle 3 segnalazioni di Dhanjani, preferendo classificare le altre due come "richieste di nuove funzionalità" (in Microsoft le chiamiamo DCR, design change request). Ho riportato, traducendole, le considerazioni di Dhanjani, giudicate voi:

"carpet bomb": il browser Safari non può essere configurato per chiedere il consenso dell'utente prima di scaricare un contenuto da Internet. Safari lo fa in modo silente e lo salva nella posizione predefinita (a meno che l'utente non l'abbia esplicitamente modificata)
Sandbox not Applied to Local Resources: per esempio, diversamente da quanto fa Internet Explorer, Safari non avvisa l'utente quando una risorsa locale, come un file HTML, tenta di invocare dello scripting client side.

Sinceramente mi sono stupito nel vedere che queste funzionalità di sicurezza fossero assenti in un browser così recente che è uscito vantando "...to be secure from day one", come indica lo stralcio della pagina web di Apple che ha riportato ZDNET (scusatemi ma non ho resistito... ).

Ribadisco un concetto espresso in un post recente sempre a proposito dell'atteggiamento di Apple: è davvero triste vedere che le disavventure passate di Microsoft con gli aspetti di sicurezza non siano servite da lezione per i ~~nuovi~~ vendor che ora si ritrovano a dover gestire le stesse problematiche, e che si ricommettano gli stessi errori, a tal punto da far dire a tanti "Stop using Safari".

Tecnicamente ed egoisticamente parlando, Apple potrebbe anche aver ragione (anche se in Microsoft la definizione di vulnerabilità farebbe rientrare queste problematiche come tali), peccato che si stia parlando di funzionalità di sicurezza che credo siano ormai irrinunciabili per un browser, sia alla luce delle minacce ormai comprovate, sia dalla dimostrazione di queste nuove tipologie di attacchi in cui si riescono a sommare due debolezze in due prodotti diversi, magari lievi in sé, ma che sommate possono produrre un rischio combinato ben più serio.

Se si intende procedere per il miglioramento della sicurezza di Internet e per una estesa interoperabilità, è necessario che tutti facciano la loro parte nel prendere sul serio le problematiche di sicurezza e fare tutto il possibile per migliorare i propri prodotti: io credo che Microsoft sia su questa strada già da tempo, ed è ora che anche Apple si accodi...

Share this post :

Security Advisory 953818 correlato al problema "carpet bomb" di Safari

Feliciano Intini — Tue, 03 Jun 2008 13:56:38 GMT

Comincio a pensare che i miei colleghi del MSRC in Corp (... noi usiamo dire così per riferirci alla Microsoft di Redmond, che è appunto la CORPoration) utilizzino l'Office Communicator (il nostro instant messenger interno) come rilevatore di presenza per decidere quando pubblicare i security advisory... :-(

Vabbè... fatto sta che proprio all'inizio di questo weekend lungo per l'Italia, Microsoft ha emesso il "Microsoft Security Advisory (953818) - Blended Threat from Combined Attack Using Apple’s Safari on the Windows Platform" per segnalare che esiste una possibile minaccia di attacco per gli utenti di Windows (in particolare di tutte le versioni supportate di Windows XP e Windows Vista) che usano il browser Safari di Apple per la navigazione Internet.

Come riporta l'advisory, l'attacco è reso possibile dalla combinazione di due problemi (da qui il nome di "Blended Threat"), la modalità con cui Safari gestisce il download di contenuti sul file system e quella con cui Windows gestisce i file eseguibili sul Desktop: questa situazione congiunta permetterebbe di scaricare file sul Desktop di Windows ed eseguirli all'insaputa dell'utente nel suo contesto di sicurezza (quindi con i suoi privilegi - che le best practice raccomandano essere sempre i più limitati possibile...)

Vi faccio notare che ho scritto "problemi" e non "vulnerabilità" non a caso: il problema di Safari a cui fa riferimento questo advisory è quello denominato "Carpet Bombing" che è al centro di una piccola bufera, e che merita qualche riflessione di merito: Apple continua ad avere un approccio miope ed anacronistico sugli aspetti di Sicurezza

Diversamente dall'approccio di Apple che potete leggere al post appena citato, Microsoft ha riconosciuto la necessità di approfondire la problematica dal suo lato (per accertare eventuali vulnerabilità su Windows e determinarne l'impatto) e di avvisare subito gli utenti del possibile rischio (e del possibile workaround) di questo attacco combinato: da qui la pubblicazione di questo advisory.

Aggiornamento del 2/07/2008: Apple ha aggiornato Safari alla versione 3.1.2 e documentato i relativi aspetti di sicurezza in questo suo security advisory.

Share this post :

I numeri sulle vulnerabilità di Windows Vista? Ottimi ma noiosi... parliamo invece di Apple

Feliciano Intini — Mon, 19 May 2008 19:11:05 GMT

Jeff Jones ha pubblicato un nuovo breve paper di confronto delle vulnerabilità, questa volta focalizzato sul primo trimestre del 2008 e i numeri danno ancora ragione inequivocabile alle considerazioni che ho più volte espresso a favore dell'efficacia del Microsoft Security Development Lifecycle (SDL), e su come i benefici di questo processo si stiano riflettendo sui risultati di Windows Vista rispetto a tutti: Windows Vista rimane il sistema operativo con meno vulnerabilità sia rispetto a Windows XP SP2 che rispetto agli altri sistemi operativi (notate che non ho detto "più sicuro", non mancate di leggere l'appendice A in cui Jones spiega l'interpretazione dei dati):

(Ricordo che la fonte dati è il National Vulnerability Database (NVD) curato dal National Institute of Standards (NIST) utilizzando il Common Vulnerability Scoring System Version 2 (CVSSv2) come metodo di rating delle vulnerabilità).

Non ci crederete, ma quando venerdì ho letto questo post e le relative tabelle mi sono chiesto per la prima volta... e ora? Cosa c'è di nuovo e interessante da segnalare all'attenzione dei miei lettori? Possibile che questi grandiosi risultati in area sicurezza da parte di Microsoft siano quasi quasi diventati noiosi??? Incredibile... eppure sembra proprio così...

Un aspetto su cui vorrei stuzzicarvi però c'è: riguardando la tabella che mostra meglio il confronto delle vulnerabilità critiche...

...mi è saltata all'occhio la "stranezza" della colonnina di Mac OS X 10.5 superiore a quella di Mac OS X 10.4, ed entrambe superiori a quelle degli altri OS... secondo voi come si spiega? Forse che vale quanto detto nel mio post e ribadito in questo articolo Zero Day a proposito del famoso CanSecWest: "...vulnerabilities follows success..."??? Che riflessioni vengono da fare sui processi di revisione del codice da parte di Apple? A voi la parola...

Share this post :