Chiavi nascoste: rischio potenziale ma insidioso

Redazione di Hardware Upg · 30-08-2005, 10:34

Link alla notizia: http://www.hwupgrade.it/news/sicurez...oso_15255.html

E' stato scoperto che l'editor del registro di sistema di Windows ha un piccolo bug, che potenzialmente potrebbe essere sfruttato da software malevoli.

Click sul link per visualizzare la notizia.

robydad · 30-08-2005, 10:41

mi sorprende che una cosa così banale sia stata scoperta così tardi, sia dai creatori di spyware, che da quelli di antispyware.

A volte le cose più semplici .....

GuardaKeTipo · 30-08-2005, 10:55

Beh... a me sorprende ke una cosa del genere non sia stata ancora sfruttata da alcun malware. Mah

Vik Viper · 30-08-2005, 11:00

credo che nemmeno il perdigiorno più incallito (uno scrittore di virus - ma esiste una simile categoria??? - alla ricerca di falle) si sarebbe mai immaginato un bug così idiota...
Il software esente da bug non esiste, ma si perdoni se dopo una decina di anni di sviluppo del regedit.exe il fatto che questo abbia un errore così cretino mi fa ridere per non piangere...
Detto tra noi, cmq, come falla non penso sia grave, in effetti l'unico modo che mi pare evidenziato per sfruttarla è quello di nascondere le chiavi a software buggati: non è una porta (intesa come l'oggetto che separa le stanze e non come "port" [che non si traduce porta, tralaltro!!]) aperta per infiltrazioni alla fin fine.
Quello che non capisco è come mai anche altri software di 3e parti hanno lo stesso problema... è forse una libreria di sistema cui si appoggiano ad avere questo difetto?
vabbè, dai... cretino io che ancora mi sto a stupire...

ArticMan · 30-08-2005, 11:04

hahahahahaha

Dumah Brazorf · 30-08-2005, 11:23

Non preoccupatevi, tempo una settimana...

freeeak · 30-08-2005, 11:32

bhe si strano a me sembra piu strano che nessuno abbia usato l'Ads (Alternative data stream) praticamente nessun ant virus li rileva.

Korn · 30-08-2005, 11:36

Quote:

Originariamente inviato da Dumah Brazorf

Non preoccupatevi, tempo una settimana...

o 2 o 3 o 4

Luca69 · 30-08-2005, 11:39

Probabilmente la falla é in qualche nelle librerie Microsoft utilizzate per accedere al registro e non in regedit o nei programmi che le usano.

andrineri · 30-08-2005, 11:45

Quote:

Originariamente inviato da Luca69

Probabilmente la falla é in qualche nelle librerie Microsoft utilizzate per accedere al registro e non in regedit o nei programmi che le usano.

lo spero...

e spero anche che m$ risolva in tempi ragionevoli, non biblici come al solito

bjt2 · 30-08-2005, 12:15

Se la falla fosse in qualche libreria NESSUN programma, compreso il malware stesso potrebbe accedere alla chiave. IMHO il difetto è in regedit e soci.

Fx · 30-08-2005, 12:19

si, prima vorrei capire bene dov'è il problema e come possa venire effettivamente sfruttato in pratica, al di là della teoria ipotizzata dall'articolo...

Marsangola · 30-08-2005, 12:33

Per la redazione: io ci penserei due volte prima di svelare un bug di un programma: si rischia la denuncia

Vik Viper · 30-08-2005, 12:38

Quote:

Originariamente inviato da bjt2

Se la falla fosse in qualche libreria NESSUN programma, compreso il malware stesso potrebbe accedere alla chiave. IMHO il difetto è in regedit e soci.

questo non è necessariamente vero... in mancanza di dati "certi" e verificati non si può escludere un comportamento che, giusto per esempio, non ne permetta la lettura ma che cmq ne possa autorizzare la scrittura...
2a cosa: non è detto che ci si debba necessariamente appoggiare alla libreria (eventualmente) difettosa... e questo andrebbe in accordo con l'effettiva situazione che NON tutti i programmi di 3e parti hanno questo difetto...

Vik Viper · 30-08-2005, 12:42

Quote:

Originariamente inviato da Fx

si, prima vorrei capire bene dov'è il problema e come possa venire effettivamente sfruttato in pratica, al di là della teoria ipotizzata dall'articolo...

Io ho capito che nel riportare la notizia venga già evidenziato che il modo per sfruttarla (quello più immediato almeno) è per nascondere chiavi di registro a scansioni da parte di alcuni programmi di 3e parti nonché del regedit... tipo per far partire all'avvio di windows programmi "pericolosi".

Quote:

Omissis...
...con minimo di fantasia non è difficile immaginare scenari in cui vengano create sottochiavi con nome lungo in Run garantendosi l'avvio ad ogni reboot e la difficile individuazione da parte dei comuni tools.

Più chiaro di così...

Poi si può discutere sull'effettiva gravità della cosa, tuttavia è una questione che non viene neppure accennata nel testo della notizia e che al limite può essere oggetto di dibattito in questa sede (=sezione/argomento del forum)

robydad · 30-08-2005, 13:00

Quote:

Originariamente inviato da Marsangola

Per la redazione: io ci penserei due volte prima di svelare un bug di un programma: si rischia la denuncia

non penso che il bug sia stato scoperto dalla redazione di HwUpgrade. Sicuramente hanno preso la notizia dalla rete

hfish · 30-08-2005, 14:20

se addirittura il caro vecchio msconfig non è in grado di visualizzarle siamo davvero nella merda... fortuna che sto migrando a lidi migliori (e gratuiti...)

Fx · 30-08-2005, 14:26

Quote:

Originariamente inviato da Vik Viper

Più chiaro di così...

allora

a) se i programmi di sicurezza non riescono a leggerle il problema allora non è di regedit ma delle librerie
b) se il problema è delle librerie, anche l'applicazione che lancia ciò che è in run non riesce a leggere i caratteri oltre al 254esimo, o se ci riesce basta che i programmi di sicurezza usino lo stesso tipo di metodo

insomma, la cosa detta così non si regge molto in piedi, non trovi?

hfish: l'osservazione sarebbe pertinente se non fosse che se in linux ti mettono qualcosa di autoesecuzione al boot (magari con un bel rootkit) non lo trovi manco a morire =)

Marsangola · 30-08-2005, 15:35

Quote:

Originariamente inviato da robydad

non penso che il bug sia stato scoperto dalla redazione di HwUpgrade. Sicuramente hanno preso la notizia dalla rete

Lo penso anch'io: il mio era puro sarcasmo. Mi riferivo alla notizia apparsa pochi giorni fa che parlava dell'arresto di un ragazzo perche' aveva divulgato la notizia di un bug in un sw di cui ora non ricordo il nome.

GOG · 30-08-2005, 15:47

Codice:

August 28, 2005:
A vulnerability has been discovered in Windows Regedit that can cause it to hide certain Registry values. I am aware that this vulnerability also exists in HijackThis, as well as a lot of other programs that use the Registry (!).
Working on a fix/workaround.

Preso dalla home page di Merijn.org

Saluti.

30-08-2005, 11:00	#4
Vik Viper Senior Member Iscritto dal: May 2000 Città: Milano Messaggi: 535	Questa poi... credo che nemmeno il perdigiorno più incallito (uno scrittore di virus - ma esiste una simile categoria??? - alla ricerca di falle) si sarebbe mai immaginato un bug così idiota... Il software esente da bug non esiste, ma si perdoni se dopo una decina di anni di sviluppo del regedit.exe il fatto che questo abbia un errore così cretino mi fa ridere per non piangere... Detto tra noi, cmq, come falla non penso sia grave, in effetti l'unico modo che mi pare evidenziato per sfruttarla è quello di nascondere le chiavi a software buggati: non è una porta (intesa come l'oggetto che separa le stanze e non come "port" [che non si traduce porta, tralaltro!!]) aperta per infiltrazioni alla fin fine. Quello che non capisco è come mai anche altri software di 3e parti hanno lo stesso problema... è forse una libreria di sistema cui si appoggiano ad avere questo difetto? vabbè, dai... cretino io che ancora mi sto a stupire... Ultima modifica di Vik Viper : 30-08-2005 alle 11:03.

30-08-2005, 12:33	#13
Marsangola Member Iscritto dal: Oct 2003 Città: Belluno provincia Messaggi: 183	Per la redazione: io ci penserei due volte prima di svelare un bug di un programma: si rischia la denuncia __________________ Dai diamanti / non nasce niente / dal letame / nascono i fior (F. De Andrè) In a world without fences and walls, who needs Windows and Gates? Debian user - Linux User #336059

30-08-2005, 10:34	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75166	Link alla notizia: http://www.hwupgrade.it/news/sicurez...oso_15255.html E' stato scoperto che l'editor del registro di sistema di Windows ha un piccolo bug, che potenzialmente potrebbe essere sfruttato da software malevoli. Click sul link per visualizzare la notizia.

30-08-2005, 10:41	#2
robydad Senior Member Iscritto dal: Jun 2000 Messaggi: 667	mi sorprende che una cosa così banale sia stata scoperta così tardi, sia dai creatori di spyware, che da quelli di antispyware. A volte le cose più semplici .....

30-08-2005, 10:55	#3
GuardaKeTipo Senior Member Iscritto dal: Dec 2004 Città: Prov Ragusa Messaggi: 672	Beh... a me sorprende ke una cosa del genere non sia stata ancora sfruttata da alcun malware. Mah

30-08-2005, 11:04	#5
ArticMan Senior Member Iscritto dal: Sep 2002 Città: Roma Messaggi: 2061	hahahahahaha

30-08-2005, 11:23	#6
Dumah Brazorf Bannato Iscritto dal: Oct 2002 Messaggi: 29264	Non preoccupatevi, tempo una settimana...

30-08-2005, 11:32	#7
freeeak Senior Member Iscritto dal: Feb 2005 Messaggi: 675	bhe si strano a me sembra piu strano che nessuno abbia usato l'Ads (Alternative data stream) praticamente nessun ant virus li rileva.

30-08-2005, 11:39	#9
Luca69 Senior Member Iscritto dal: Mar 2003 Città: Udine <--> Villach Messaggi: 2589	Probabilmente la falla é in qualche nelle librerie Microsoft utilizzate per accedere al registro e non in regedit o nei programmi che le usano.

30-08-2005, 12:15	#11
bjt2 Senior Member Iscritto dal: Apr 2005 Città: Napoli Messaggi: 6817	Se la falla fosse in qualche libreria NESSUN programma, compreso il malware stesso potrebbe accedere alla chiave. IMHO il difetto è in regedit e soci.

30-08-2005, 12:19	#12
Fx Bannato Iscritto dal: Dec 2000 Messaggi: 2097	si, prima vorrei capire bene dov'è il problema e come possa venire effettivamente sfruttato in pratica, al di là della teoria ipotizzata dall'articolo...

30-08-2005, 14:20	#17
hfish Senior Member Iscritto dal: Nov 2003 Città: utonto franchiddese Messaggi: 1428	se addirittura il caro vecchio msconfig non è in grado di visualizzarle siamo davvero nella merda... fortuna che sto migrando a lidi migliori (e gratuiti...)

Strumenti
Mostra una versione stampabile Invia questa pagina per email