c.m.g
26-09-2007, 09:51
Č un mese di "fuoco" per Google per quanto riguarda la sicurezza: Giorgio Maone, geek italiano, sviluppatore software per Informaction e autore di popolari estensioni per Firefox come FlashGot e NoScript, ha pubblicato sul suo blog Hackademix.net un intervento in cui riassume le recenti "disclosure" di una serie di vulnerabilitā per prodotti e servizi del colosso della ricerca Google. Nel giro di pochi giorni sono infatti stati svelati da parte di vari ricercatori di sicurezza i dettagli su ben 4 vulnerabilitā che affliggono i prodotti di Google che potrebbero mettere a serio rischio gli utenti di internet.
La prima problematica di sicurezza č stata scoperta dal ricercatore di sicurezza ucraino Eugene Dokukin aka "MustLive (http://websecurity.com.ua/1368/)", giā autore del progetto Month of Search Engine Bug (MOSEB) (http://www.tweakness.net/topic.php?id=3710), e riguarda una falla XSS (Cross Site Scripting) in Google Search Appliance (http://www.google.com/enterprise/gsa/), prodotto hardware e software integrato progettato per mettere la potente ricerca Google al servizio delle aziende. Il bug affligge circa 200.000 clienti del motore di ricerca "outsourced" e tutti i loro utenti. Mustilive fornisce anche un cosiddetto "Google Dork (http://www.google.com/search?q=inurl%3Axml_no_dtd&gl=us)", cioč una query composita d ricerca che permette di trovare su Google stesso siti che presentano la falla. Attualmente questa ricerca restituisce circa 187.000 risultati.
I ricercatori di sicurezza Billy Rios e Nate McFeters (http://xs-sniper.com/blog/2007/09/24/stealing-pictures-with-picasa/) hanno svelato
(http://xs-sniper.com/blog/Picasa-URI/) in grado di attaccare il software Google Picasa (http://www.tweakness.net/news.php?&keys=picasa&wherenews=HEADER). Si tratta di un sofisticato attacco combinato (che sfrutta XSS, Cross Application Request Forgery, Flash same domain policy elusion e una debolezza del URI handler picasa://) che permette ad una attacker di rubare le immagini e foto private dall'utente vittima direttamente dal disco rigido del suo computer. L'attacco puō essere lanciato inducendo semplicemente un utente a visitare un sito web (http://www.tweakness.net/topic.php?id=4052#) modificato ad arte per lo scopo.
Il ricercatore colombiano Fernando Muņoz (http://blog.beford.org/?p=3) ha scoperta un nuova vulnerabilitā XSS in Google.com che puō essere sfruttata per rubare informazioni dagli account di posta (http://www.tweakness.net/topic.php?id=4052#) Gmail (http://www.tweakness.net/news.php?&keys=gmail&wherenews=HEADER). Muņoz ha pubblicato una "full disclosure" della falla. Il problema risiede nella funzione sondaggi di Blogspot, giā affetta da altra problematiche di sicurezza. Il parametro 'font' non veniva correttamente "bonificato" prima di essere utilizzato all'interno del tag STYLE, permettendo iniezione di codice. A quanto pare Google ha corretto questo particolare bug ma non ha "verificato" il resto del codice della funzione. Muņoz ha pubblicato due allarmanti PoC (Proof of Concept): il primo permette di rubare i contatti della rubrica Gmail, i lsecondo ruba i messaggi in arrivo inviandoli ad un altro indirizzo di posta.
Per cadere vittime di questo tipo di attacchi basta visitare pagine modificate per lo scopo mentre si č loggati nel proprio account Google. L'exploit funziona su tutti i principali browser web. Muņoz consiglia agli utenti di Firefox (http://www.tweakness.net/topic.php?id=4052#) di utilizzare l'estensione NoScript (http://noscript.net/) che permette di proteggersi da questo ed altri attacchi XSS.
Poche ore fa, Adrian Pastor (http://www.gnucitizen.org/blog/google-urchin-password-theft-madness), ricercatore di sicurezza del gruppo GNUCITIZEN ha svelato un'altra vulnerabilitā "Google-outsourced", che affligge la pagina di login di Google Urchin Web Analytics 5 (http://www.gnucitizen.org/blog/google-urchin-password-theft-madness). La falla č giā stata segnalata a Luglio a Google che ha confermato il problema e di star lavorando ad un fix. Il PoC fornito da Pastor, che sfrutta la funzione di completamento automatico dei browser, mostra come un attacker sia in grado di rubare le credenziali di accesso (http://www.tweakness.net/topic.php?id=4052#) al servizio. Pastor ha anche reso disponibile un video demo (http://www.youtube.com/watch?v=wCUovL9WLVQ) dell'attacco.
Fonte: Tweakness (http://www.tweakness.net/)
La prima problematica di sicurezza č stata scoperta dal ricercatore di sicurezza ucraino Eugene Dokukin aka "MustLive (http://websecurity.com.ua/1368/)", giā autore del progetto Month of Search Engine Bug (MOSEB) (http://www.tweakness.net/topic.php?id=3710), e riguarda una falla XSS (Cross Site Scripting) in Google Search Appliance (http://www.google.com/enterprise/gsa/), prodotto hardware e software integrato progettato per mettere la potente ricerca Google al servizio delle aziende. Il bug affligge circa 200.000 clienti del motore di ricerca "outsourced" e tutti i loro utenti. Mustilive fornisce anche un cosiddetto "Google Dork (http://www.google.com/search?q=inurl%3Axml_no_dtd&gl=us)", cioč una query composita d ricerca che permette di trovare su Google stesso siti che presentano la falla. Attualmente questa ricerca restituisce circa 187.000 risultati.
I ricercatori di sicurezza Billy Rios e Nate McFeters (http://xs-sniper.com/blog/2007/09/24/stealing-pictures-with-picasa/) hanno svelato
(http://xs-sniper.com/blog/Picasa-URI/) in grado di attaccare il software Google Picasa (http://www.tweakness.net/news.php?&keys=picasa&wherenews=HEADER). Si tratta di un sofisticato attacco combinato (che sfrutta XSS, Cross Application Request Forgery, Flash same domain policy elusion e una debolezza del URI handler picasa://) che permette ad una attacker di rubare le immagini e foto private dall'utente vittima direttamente dal disco rigido del suo computer. L'attacco puō essere lanciato inducendo semplicemente un utente a visitare un sito web (http://www.tweakness.net/topic.php?id=4052#) modificato ad arte per lo scopo.
Il ricercatore colombiano Fernando Muņoz (http://blog.beford.org/?p=3) ha scoperta un nuova vulnerabilitā XSS in Google.com che puō essere sfruttata per rubare informazioni dagli account di posta (http://www.tweakness.net/topic.php?id=4052#) Gmail (http://www.tweakness.net/news.php?&keys=gmail&wherenews=HEADER). Muņoz ha pubblicato una "full disclosure" della falla. Il problema risiede nella funzione sondaggi di Blogspot, giā affetta da altra problematiche di sicurezza. Il parametro 'font' non veniva correttamente "bonificato" prima di essere utilizzato all'interno del tag STYLE, permettendo iniezione di codice. A quanto pare Google ha corretto questo particolare bug ma non ha "verificato" il resto del codice della funzione. Muņoz ha pubblicato due allarmanti PoC (Proof of Concept): il primo permette di rubare i contatti della rubrica Gmail, i lsecondo ruba i messaggi in arrivo inviandoli ad un altro indirizzo di posta.
Per cadere vittime di questo tipo di attacchi basta visitare pagine modificate per lo scopo mentre si č loggati nel proprio account Google. L'exploit funziona su tutti i principali browser web. Muņoz consiglia agli utenti di Firefox (http://www.tweakness.net/topic.php?id=4052#) di utilizzare l'estensione NoScript (http://noscript.net/) che permette di proteggersi da questo ed altri attacchi XSS.
Poche ore fa, Adrian Pastor (http://www.gnucitizen.org/blog/google-urchin-password-theft-madness), ricercatore di sicurezza del gruppo GNUCITIZEN ha svelato un'altra vulnerabilitā "Google-outsourced", che affligge la pagina di login di Google Urchin Web Analytics 5 (http://www.gnucitizen.org/blog/google-urchin-password-theft-madness). La falla č giā stata segnalata a Luglio a Google che ha confermato il problema e di star lavorando ad un fix. Il PoC fornito da Pastor, che sfrutta la funzione di completamento automatico dei browser, mostra come un attacker sia in grado di rubare le credenziali di accesso (http://www.tweakness.net/topic.php?id=4052#) al servizio. Pastor ha anche reso disponibile un video demo (http://www.youtube.com/watch?v=wCUovL9WLVQ) dell'attacco.
Fonte: Tweakness (http://www.tweakness.net/)