[NEWS] Facebook, quattro mesi per tappare un buco

c.m.g · 11-12-2008, 09:52

giovedì 11 dicembre 2008

Roma - Se è indubbio il suo successo in termini di pubblico, Facebook sembra soffrire dal punto di vista della sicurezza. La nuova variante del worm Koobface, ad esempio, è pensata per attirare gli utenti "amici" su un presunto video in streaming che nasconde al suo interno il codice malevolo dell'infezione. L'ultimo incidente di percorso di cui si ha notizia ha però a che fare con il codice del portale: si tratta di una falla cross-site scripting (XSS) con cui è possibile fare di tutto e anche di peggio.

La vulnerabilità, appartenente a un genere che da tempo va per la maggiore come vettore di attacco sul web, è stata dimostrata con due esempi concreti e dà la possibilità teorica a chi ne fosse a conoscenza di far credere all'utente di stare visitando Facebook mentre la maggioranza del contenuto e del codice della pagina proviene da tutt'altra parte.

Si tratta di una falla piuttosto pericolosa: chi l'ha scoperta ha informato gli admin di Facebook già lo scorso agosto. Il risultato è stato disarmante: la falla ha continuato indisturbata ad attendere che qualche malware writer o ingegnere software votato al lato oscuro della forza ne usufruisse per i suoi nefasti affari.

"Ho provato a mettere in guardia Facebook quanto prima fosse possibile, tuttavia non ho ricevuto ulteriori comunicazioni dopo il mio messaggio", dice l'ignoto autore della scoperta della vulnerabilità, che nota tra l'altro che "secondo Bugtraq io non sono il primo a essere perplesso riguardo i contatti diretti con Facebook in relazione a un problema di sicurezza".

La falla, il cui funzionamento sarebbe stato verificato con tutti i maggiori browser in circolazione e sul neonato Google Chrome, è stata chiusa solo dopo che The Register ha trattato in dettaglio la questione. Sono stati necessari richiesto quattro mesi e un outing pubblico prima che Facebook cominciasse a lavorare sul codice.

Alfonso Maruccia

Fonte: Punto Informatico

W.S. · 11-12-2008, 14:12

Quote:

Originariamente inviato da c.m.g

La falla ... è stata chiusa solo dopo che The Register ha trattato in dettaglio la questione.

Un punto a favore della full disclosure.

11-12-2008, 09:52	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] Facebook, quattro mesi per tappare un buco giovedì 11 dicembre 2008 Roma - Se è indubbio il suo successo in termini di pubblico, Facebook sembra soffrire dal punto di vista della sicurezza. La nuova variante del worm Koobface, ad esempio, è pensata per attirare gli utenti "amici" su un presunto video in streaming che nasconde al suo interno il codice malevolo dell'infezione. L'ultimo incidente di percorso di cui si ha notizia ha però a che fare con il codice del portale: si tratta di una falla cross-site scripting (XSS) con cui è possibile fare di tutto e anche di peggio. La vulnerabilità, appartenente a un genere che da tempo va per la maggiore come vettore di attacco sul web, è stata dimostrata con due esempi concreti e dà la possibilità teorica a chi ne fosse a conoscenza di far credere all'utente di stare visitando Facebook mentre la maggioranza del contenuto e del codice della pagina proviene da tutt'altra parte. Si tratta di una falla piuttosto pericolosa: chi l'ha scoperta ha informato gli admin di Facebook già lo scorso agosto. Il risultato è stato disarmante: la falla ha continuato indisturbata ad attendere che qualche malware writer o ingegnere software votato al lato oscuro della forza ne usufruisse per i suoi nefasti affari. "Ho provato a mettere in guardia Facebook quanto prima fosse possibile, tuttavia non ho ricevuto ulteriori comunicazioni dopo il mio messaggio", dice l'ignoto autore della scoperta della vulnerabilità, che nota tra l'altro che "secondo Bugtraq io non sono il primo a essere perplesso riguardo i contatti diretti con Facebook in relazione a un problema di sicurezza". La falla, il cui funzionamento sarebbe stato verificato con tutti i maggiori browser in circolazione e sul neonato Google Chrome, è stata chiusa solo dopo che The Register ha trattato in dettaglio la questione. Sono stati necessari richiesto quattro mesi e un outing pubblico prima che Facebook cominciasse a lavorare sul codice. Alfonso Maruccia Fonte: Punto Informatico __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email