Microsoft correggerà la falla degli URI

Ammettendo una parte di responsabilità nel problema che di recente ha coinvolto numerose applicazioni, da Firefox a Skype passando per Adobe Reader, BigM ha annunciato un'imminente patch per Windows XP

Roma - La vulnerabilità degli URI (Uniform Resource Identifier), venuta alla ribalta lo scorso luglio con Firefox, si è presto rivelata una vera e propria piaga per la sicurezza di Windows XP. Nel giro di pochi mesi, infatti, sono decine le applicazioni rivelatesi vulnerabili al problema, e tra queste si contano Acrobat e Adobe Reader, FoxIT Reader, Skype (patchato di recente), Netscape, Miranda IM, Outlook Express e Outlook 2000.

Il problema nasce dal fatto che Windows XP e Windows 2003, dopo l'installazione di Internet Explorer 7, gestiscono gli indirizzi URI in modo leggermente diverso da quanto succedeva con IE6: ciò fa sì che la stragrande maggioranza delle applicazioni che passa degli URI o degli URL (come un link http:// o mailto://) a Windows utilizzando la funzione ShellExecute(), e manca di filtrare gli indirizzi da caratteri non validi, può consentire l'esecuzione di comandi e programmi senza l'autorizzazione dell'utente. Sebbene tali applicazioni abbiano la colpa di non validare gli URI - a suo tempo si è a lungo discusso su quale, tra Firefox e Windows, fosse maggiormente responsabile del problema - è indubbio che la vulnerabilità è frutto di una modifica di cui Microsoft non ha previsto gli effetti collaterali.

E così, dopo essere stata per mesi sulla difensiva, Microsoft ha infine ammesso l'esistenza del problema e le responsabilità di Windows. "IE7 aggiorna un componente di Windows, modificando l'interazione tra Internet Explorer e Windows Shell quando gestiscono URL o URI", si legge in un articolo tecnico appena pubblicato da BigM. "Un aggressore può tentare di sfruttare questa vulnerabilità iniettando degli URI o URL fatti in un certo modo all'interno di un'applicazione e inducendo un utente a compiere un'azione che inneschi la vulnerabilità. Ad esempio, un aggressore potrebbe convincere un utente a seguire il link contenuto in un messaggio di posta elettronica che, una volta cliccato, esegue del codice a sua scelta con gli stessi privilegi dell'utente loggato nel sistema".
Tutto ciò in Windows Vista non si verifica, perché qui la funzione ShellExecute funziona in modo corretto, scartando automaticamente gli URI non validi. Microsoft ha detto che l'imminente patch renderà la gestione degli URI più sicura anche sotto Windows XP, ciò nonostante l'azienda ha invitato le terze parti a filtrare gli URI anche lato applicazione: due occhi - sembra pensare il colosso - sono meglio di uno.

Come si è detto, tra i software vulnerabili si trovano applicazioni diffusissime come Skype e Adobe Reader. Nel primo il problema è stato corretto alcuni giorni fa, mentre nel secondo sarà sistemato nelle prossime settimane.

Confermando quanto divulgato un paio di settimane fa dall'hacker polacco Petko D. Petkov sul suo blog GNUcitizen.org, Adobe ha infatti pubblicato un advisory di sicurezza che descrive il problema degli URI in Acrobat e Adobe Reader 8.1 e versioni precedenti.

Mentre Petkov non ha mai rivelato i dettagli della vulnerabilità, giustificando la decisione con il desiderio di proteggere gli utenti da un problema potenzialmente molto grave, Adobe è stata costretta a rivelare la natura della falla dopo che, lo scorso venerdì, heise-security.co.uk ha pubblicato un exploit proof of concept capace di lanciare la calcolatrice di Windows.

Come spiegato qui da FrSIRT, la debolezza è causata da una non corretta validazione degli URI di tipo mailto://. "Un aggressore - si legge nell'avviso - potrebbe sfruttare questa falla per creare dei documenti PDF che, una volta aperti, eseguono dei comandi a sua scelta e gli consentono di prendere il pieno controllo del sistema remoto".

Nel proprio advisory Adobe fornisce agli utenti le istruzioni su come applicare un workaround temporaneo che prevede la modifica di alcune voci nel registro di Windows.

Maggiori informazioni sul problema degli URI si possono trovare in questo advisory di heise-security.co.uk e in questo articolo di BetaNews.com.
17 Commenti alla Notizia Microsoft correggerà la falla degli URI
Ordina
  • Quanto viene detto in questo articolo, mi dà conferma di una cosa. Quando IE7 fu rilasciato e su alcuni Clients, eseguendo il WinUpdate, venne installato, inziai a rilevare alcuni problemi con degli automatismi scritti in VBA, che usavano appunto la funzione ShellExecute().
    Disinstallando IE7 tutto tornò a funzionare perfettamente, e da allora ho escluso questo "aggiornamento" per raggirare il problema; anche perchè sugli stessi usano FireFox e quindi il browser è comunque sicuro e aggiornato ^_^

    Quindi non solo questo aggiornamento espone ai rischi di cui sopra, ma aggiornando quella DLL, causa anche dei problemi di compatibilità.
    non+autenticato
  • leggendo larticolo da voi pubblicato ho capito cosa mi è capitato, vi spiego ,istallando esplorer7 e con morton internet siquriti mi sentivo siquro dai attacchi da virus invece in un una sera in 5 ninuti o avuto 3 attacchi che mi anno bloccato in parte il sistema operativo,ho chiamato un tecnicodi compiuter che mi ha detto perche ho istallato internet esplorer7 che non è ancora siquro e dovrei rintallare di nuovo tutto ,perche mi ha troncato la connessione remoto,rasapi32, sto navigando con hamlete e connissione lam ,saluti da el.moro1
    non+autenticato
  • ma sei per caso affetto da dislessia e dal morbo della tastiera pazza LOL ahhahaha -.-°
    Madò a leggere come hai scritto il tuo post, mi vien voglia di pestarti LOL ahahhaa scherzo nèCon la lingua fuori
    non+autenticato
  • In fondo gli uri si sono estinti nel XVII secolo Angioletto
    non+autenticato
  • Mi sembra di capire questo.
    Ed almeno per quel che riguarda Xp e non Vista.

    Cioè tutto lo sbandieramento della sicurezza raggiunta da explorer 7 che lo rendeva una fortezza rispetto al 6 era la solita menata pubblicitaria di microsoft ??

    Hanno implementato una modifica pesante alla gestiore URI senza fare un'analisi dei rischi che facesse emergere il problema a lato applicazioni che non filtrano le chiamate ??
    E questo lo chiamano saper sviluppare architettura software ??
    Una simile "svista" nella sicurezza da parte del maggior produttore di software del mondo e proprio mentre è impegnato a sviluppare un prodotto che vuole essere il più sicuro possibile la dice lunga sulle loro reali capacità e credibilità.
  • - Scritto da: lalla63
    > Hanno implementato una modifica pesante alla
    > gestiore URI senza fare un'analisi dei rischi che
    > facesse emergere il problema a lato applicazioni
    > che non filtrano le chiamate
    > ??

    sono le altre applicazioni che devono essere programmate decentemente. Semmai questa falla ha dimostrato quanto sia insicuro Firefox. IE7 è parecchio più sicuro infatti filtra gli argomenti che gli arrivano.
    non+autenticato
  • Giusto.
    Ma quel che intendo dire io è che si son mossi con leggerezza.
    Se explorer 4-5-6-6sp2 trattano gli URI in una certa maniera che non causa problemi, ed invece la versione 7 cambia la situazione aprendo una breccia sfruttabile anche se per difetto di terze parti e non di explorer 7, non mi sembra un bel modo di fare.
    Il cliente, quello che gli porta i dindini ed alla cui sicurezza dicono di tenerci tanto quanto lui, ci rimette comunque ed ha un sistema vulnerabile, e non è certo da professionisti dire "tanto non è colpa mia" quando fondamentalmente la situazione è causata da una loro azione.
    Non se ne sono accorti oppure se ne sono sbattuti allegramente (tanto non era colpa loro ..... anzi sputtavano gli altri).
    In tutti i mesi (tanti) di beta test, qualcuno di Microsoft si è preoccupato di informare Adobe o Mozilla o altri su quello che stava succedendo, o si son limitati a ridere sotto i baffi e aspettarli al varco.
    Se erano coscienti, sono dei criminali, e se invece erano all'oscuro sono degli sprovveduti.
    Adesso però ammettano e corrono ai ripari, quindi la coscienza tanto a posto non devono averla.
    -----------------------------------------------------------
    Modificato dall' autore il 12 ottobre 2007 10.50
    -----------------------------------------------------------
  • Non credo prprio se ne siano accorti.
    Ci son caduti loro stessi con outlook ed express.
    Si creano le falle e ci cadono da soli .......
    non+autenticato
  • >
    > sono le altre applicazioni che devono essere
    > programmate decentemente. Semmai questa falla ha
    > dimostrato quanto sia insicuro Firefox. IE7 è
    > parecchio più sicuro infatti filtra gli argomenti
    > che gli
    > arrivano.

    non è esatto, la modifica di ie7 ha aperto falle in decine di altre applicazioni, non è certo solo un problema di firefox e qui si parla dei software più noti, quanti piccoli programmi e utility freeware ne soffrono?

    Firefox ha già apportato modifiche per eliminare il problema, ma quante altre applicazioni restano scoperte? Il problema è chiaramente di Microsoft e questa ammissione di colpa lo dimostra ampiamente
    non+autenticato
  • - Scritto da: suc

    > sono le altre applicazioni che devono essere
    > programmate decentemente.

    Fesserie.
    http://www.microsoft.com/technet/security/advisory...
    "Microsoft is aware of a vulnerability affecting how Microsoft Windows handles specific URIs or URLs passed to it."
    Come al solito, credi di installare un browser (IE7) e ti ritrovi invece una modifica nell'handling degli URI da
    parte della shell di windows.

    > Semmai questa falla ha
    > dimostrato quanto sia insicuro Firefox.

    Aggiungi al novero, allora, Adobe Acrobat, MIRC, Skype eccetera eccetera.
    La verità è che la falla l'ha introdotta MS.

    > IE7 è parecchio più sicuro infatti filtra gli argomenti
    > che gli arrivano.

    Certo, certo.
    non+autenticato
  • Alla faccia di chi diceva che era un problema di Firefox!
    non+autenticato
  • > Alla faccia di chi diceva che era un problema di
    > Firefox!

    La colpa, semmai, è di entrambi... Il fatto di non filtrare gli URI a livello di applicazione mi sembra una falla abbastanza grave...
  • - Scritto da: Athlon64

    > La colpa, semmai, è di entrambi... Il fatto di
    > non filtrare gli URI a livello di applicazione mi
    > sembra una falla abbastanza
    > grave...

    Per me ci sono due problemi: uno periferico e che riguarda il comportamento di N applicazioni, dove N può essere più o meno elevato, numero che purtroppo mette a rischio la sicurezza di X sistemi, con X MOLTO elevato; l'altro centrale, cioè nel meccanismo che fa si che applicazioni poco accorte nella valutazione dei parametri possano essere sfruttate. Correggere N applicazioni non è più facile di correggere un singolo point of failure. Fino ad ora s'è scaricata la responsabilità sulle N applicazioni solo perché di mezzo ci stava una questione di marketing (Explorer v.s. Firefox).
    non+autenticato
  • Mettiamola così, la colpa è di Firefox, e di Acrobat, e di Skype, etc etc.
    Solo che, questi software, su TUTTI gli altri OS su cui girano (MacOS, Linux, *BSD, Solaris, etc etc) non soffrono di questa vulnerabilità.
    non+autenticato
  • - Scritto da: Pinco Pallino
    > Alla faccia di chi diceva che era un problema di
    > Firefox!

    Chiunque sappia 2 cose di sicurezza delle applicazioni sa benissimo che bisogna TASSATIVAMENTE filtrare tutti gli input senza mai fidarsi di nulla.

    Ora, è sicuramente sbagliato che Microsoft cambia politica il passaggio degli uri da un momento all'altro ma è altresì vero che le applicazioni soggette ai bachi sono state sviluppate in modo poco sicuro.
    non+autenticato
  • >Chiunque sappia 2 cose di sicurezza delle applicazioni sa benissimo che bisogna TASSATIVAMENTE filtrare tutti gli input senza mai fidarsi di nulla.

    Questo vale anche per la funzione ShellExecute() o no ?
    non+autenticato
  • - Scritto da: Pinco Pallino
    > Alla faccia di chi diceva che era un problema di
    > Firefox!


    quoto


    LOOOL
    non+autenticato