c.m.g
06-02-2008, 10:19
5 febbraio 2008 alle 21.46
http://www.tweakness.net/imgarchive/ActiveX_Bug.jpg
Sulla scia delle vulnerabilità ActiveX isolate recentemente negli strumenti di "caricamento immagini" in Facebook e MySpace, i ricercatori di sicurezza hanno avvisato ieri di aver scoperto simili problemi di sicurezza (e codici exploit in-the-wild) anche in Yahoo Messenger e Yahoo Music Jukebox.
Secondo quanto riporta McAfee (http://www.avertlabs.com/research/blog/index.php/2008/02/05/yet-another-yahoo-0day-hits-the-web/), è stato già sviluppato, ed attualmente circola su vari forum di discussione, un codice exploit funzionante che sfrutta le falla zero-day in Yahoo Music Jukebox, software gratuito di music-management che permette di eseguire file musicali, CD e stazioni radio web. McAfee rileva questa minaccia come JS/Exploit-YahooGrid (http://vil.nai.com/vil/content/v_144075.htm) a partire dale definizioni DAT 5223.
La prima falla (http://www.kb.cert.org/vuls/id/101676) riguarda una sovraccarico del buffer stack-based che si verifica passando un parametro "URL" eccessivamente lungo alle funzioni AddButton e AddImage presenti nel controllo YMP DataGrid ActiveX (datagrid.dll).
La seconda falla (http://www.kb.cert.org/vuls/id/340860) interessa un sovraccarico del buffer che si verifica passando un parametro "bitmapUrl" eccessivamente lungo alla funzione AddBitmap del controllo YMGMediaGridAx ActiveX (mediagridax.dll). Queste problematiche sono state verificate nelle versioni Mediagridax.dll 2.2.2.056 e datagrid.dll 2.2.2.056, distribuite come parte dell'ultima versione di Yahoo Music Jukebox 2.2.2.056 ed altre vecchie versioni di Yahoo Messenger (http://www.securityfocus.com/bid/27578) (versione 3.5, 4.0, 5.0, e 5.5).
Sommando questi problemi a quelli già isolati nei due social network, Facebook e MySpace, sono in tutto 6 i controlli ActiveX che potrebbero subire sovraccarichi del buffer, andare in crash e essere sfruttati da codici exploit per eseguire payload nocivo sulle macchine affette.
Aurigma: CLSID 6E5E167B-1566-4316-B27F-0DDAB3484CF7 ('ImageUploader4.ocx')
Aurigma: CLSID BA162249-F2C5-4851-8ADC-FC58CB424243 ('ImageUploader5')
Facebook: CLSID 5C6698D9-7BE4-4122-8EC5-291D84DBD4A0
Yahoo! MediaGrid: CLSID 22FD7C0A-850C-4A53-9821-0B0915C96139
Yahoo! DataGrid: CLSID 5F810AFC-BB5F-4416-BE63-E01DD117BD6C
US-CERT (Computer Emergency Response Team) incoraggia tutti gli utenti della rete a disattivare prima possibile questi controlli ActiveX (http://www.us-cert.gov/reading_room/securing_browser/browser_security.html) in Internet Explorer per proteggersi da eventuali attacchi alle vulnerabilità. Queste raccomandazioni seguono il rilascio pubblico di codici exploit funzionanti per le vulnerabilità isolate in Facebook, MySpace (http://www.us-cert.gov/current/index.html#publicly_available_exploit_for_facebook) e Yahoo Music Jukebox (http://www.us-cert.gov/current/index.html#yahoo_music_jukebox_buffer_overflow).
ISC (Internet Storm Center) SANS ha reso disponibile anche un'applicazione dedicata (KillbitGUI) (http://isc.sans.org/diary.html?storyid=3931) che permette di disattivare i controlli vulnerabili da una semplice interfaccia grafica senza dover impostare i killbit manualmente da registro (http://support.microsoft.com/kb/240797).
Link per approfondimenti:
Report di McAfee (http://www.avertlabs.com/research/blog/index.php/2008/02/05/yet-another-yahoo-0day-hits-the-web/)
US-CERT Monitor (http://www.us-cert.gov/current/index.html)
Fonti: Varie via Tweakness (http://www.tweakness.net/index.php?topic=4337)
http://www.tweakness.net/imgarchive/ActiveX_Bug.jpg
Sulla scia delle vulnerabilità ActiveX isolate recentemente negli strumenti di "caricamento immagini" in Facebook e MySpace, i ricercatori di sicurezza hanno avvisato ieri di aver scoperto simili problemi di sicurezza (e codici exploit in-the-wild) anche in Yahoo Messenger e Yahoo Music Jukebox.
Secondo quanto riporta McAfee (http://www.avertlabs.com/research/blog/index.php/2008/02/05/yet-another-yahoo-0day-hits-the-web/), è stato già sviluppato, ed attualmente circola su vari forum di discussione, un codice exploit funzionante che sfrutta le falla zero-day in Yahoo Music Jukebox, software gratuito di music-management che permette di eseguire file musicali, CD e stazioni radio web. McAfee rileva questa minaccia come JS/Exploit-YahooGrid (http://vil.nai.com/vil/content/v_144075.htm) a partire dale definizioni DAT 5223.
La prima falla (http://www.kb.cert.org/vuls/id/101676) riguarda una sovraccarico del buffer stack-based che si verifica passando un parametro "URL" eccessivamente lungo alle funzioni AddButton e AddImage presenti nel controllo YMP DataGrid ActiveX (datagrid.dll).
La seconda falla (http://www.kb.cert.org/vuls/id/340860) interessa un sovraccarico del buffer che si verifica passando un parametro "bitmapUrl" eccessivamente lungo alla funzione AddBitmap del controllo YMGMediaGridAx ActiveX (mediagridax.dll). Queste problematiche sono state verificate nelle versioni Mediagridax.dll 2.2.2.056 e datagrid.dll 2.2.2.056, distribuite come parte dell'ultima versione di Yahoo Music Jukebox 2.2.2.056 ed altre vecchie versioni di Yahoo Messenger (http://www.securityfocus.com/bid/27578) (versione 3.5, 4.0, 5.0, e 5.5).
Sommando questi problemi a quelli già isolati nei due social network, Facebook e MySpace, sono in tutto 6 i controlli ActiveX che potrebbero subire sovraccarichi del buffer, andare in crash e essere sfruttati da codici exploit per eseguire payload nocivo sulle macchine affette.
Aurigma: CLSID 6E5E167B-1566-4316-B27F-0DDAB3484CF7 ('ImageUploader4.ocx')
Aurigma: CLSID BA162249-F2C5-4851-8ADC-FC58CB424243 ('ImageUploader5')
Facebook: CLSID 5C6698D9-7BE4-4122-8EC5-291D84DBD4A0
Yahoo! MediaGrid: CLSID 22FD7C0A-850C-4A53-9821-0B0915C96139
Yahoo! DataGrid: CLSID 5F810AFC-BB5F-4416-BE63-E01DD117BD6C
US-CERT (Computer Emergency Response Team) incoraggia tutti gli utenti della rete a disattivare prima possibile questi controlli ActiveX (http://www.us-cert.gov/reading_room/securing_browser/browser_security.html) in Internet Explorer per proteggersi da eventuali attacchi alle vulnerabilità. Queste raccomandazioni seguono il rilascio pubblico di codici exploit funzionanti per le vulnerabilità isolate in Facebook, MySpace (http://www.us-cert.gov/current/index.html#publicly_available_exploit_for_facebook) e Yahoo Music Jukebox (http://www.us-cert.gov/current/index.html#yahoo_music_jukebox_buffer_overflow).
ISC (Internet Storm Center) SANS ha reso disponibile anche un'applicazione dedicata (KillbitGUI) (http://isc.sans.org/diary.html?storyid=3931) che permette di disattivare i controlli vulnerabili da una semplice interfaccia grafica senza dover impostare i killbit manualmente da registro (http://support.microsoft.com/kb/240797).
Link per approfondimenti:
Report di McAfee (http://www.avertlabs.com/research/blog/index.php/2008/02/05/yet-another-yahoo-0day-hits-the-web/)
US-CERT Monitor (http://www.us-cert.gov/current/index.html)
Fonti: Varie via Tweakness (http://www.tweakness.net/index.php?topic=4337)