Alfonso Maruccia

Adobe, Reader e Flash buco dopo buco

Individuate nuove vulnerabilitÓ all'interno del popolare player multimediale per contenuti web. Le falle sono state messe "in vendita" da una societÓ specializzata. Che ha deciso di non avvertire prima Adobe

Roma - Mese nuovo, nuova falla di sicurezza zero-day scovata all'interno di Adobe Flash. Per la precisione le falle sono due e sono state entrambe individuate da InteVyDis, società russa specializzata in software di penetration testing commerciale. La politica di InteVyDis non prevede che la società interessata (in questo caso Adobe) venga avvertita dell'esistenza di una falla prima della sua commercializzazione.

InteVyDis ha confezionato un modulo di exploit ("vd_adobe_fp") da usare come addon per il software di automazione e testing realizzato da Immunity ("Canvas"). Sfruttando le due nuove falle è possibile attaccare un sistema operativo pienamente aggiornato (Windows 7 Ultimate o Windows XP poco importa) usando i browser più popolari come IE, Firefox o Chrome.

Le falle sono di quelle "cattive", visto che sono potenzialmente in grado di bypassare tutte le protezioni integrate nei browser e OS moderni (sandbox, DEP, ASLR) portando alla copia in locale e all'esecuzione di codice da web: pacchetti magari contenenti ulteriori exploit o malware con cui ottenere privilegi di accesso superiori.
Adobe dice di aver contattato InteVyDis per conoscere i dettagli sul loro modulo di exploit, così da "verificare e mettere una pezza alle vulnerabilità". Laddove la pezza sembra vieppiù urgente è nel caso del "buco" zero-day di Reader scoperto di recente, un problema che secondo Symantec è stato ampiamente sfruttato da ignoti cyber-criminali per attaccare industrie e agenzie governative negli USA e nel Regno Unito.

Alfonso Maruccia
Notizie collegate
  • SicurezzaAdobe Flash: patch urgenteUna vulnerabilitÓ zero-day mette in allerta il player Flash. L'aggiornamento Ŕ caldamente consigliato a prescindere dal browser e dal sistema operativo
  • SicurezzaAdobe: Reader è sotto attaccoIl lettore di PDF cade ancora una volta vittima di un attacco a mezzo exploit. La casa madre annuncia una patch fuori programma per le vecchie versioni del software. Gli altri aspetteranno l'anno nuovo
33 Commenti alla Notizia Adobe, Reader e Flash buco dopo buco
Ordina
  • Flash fa schifo, è lento e uccide il mio computer. Perchè non iniziano ad usare quel formato che ho visto nei video su alcune pagine di wikipedia? È leggero e funziona senza dover installare nulla!!!
    non+autenticato
  • - Scritto da: controlli a campione
    > Flash fa schifo, è lento e uccide il mio
    > computer. Perchè non iniziano ad usare quel
    > formato che ho visto nei video su alcune pagine
    > di wikipedia? È leggero e funziona senza
    > dover installare
    > nulla!!!


    peccato che Flash usato come Player per i video sul web in Mpeg4 H264 sia l'unico ad oggi ad usare l'accelerazione video Hardware bitstream CAVLC CABAC +Inverse Transform della GPU come le Nvidia con Purevideo HD VP2 o Ati Avivo che sgrava del 90% la CPU dal carico di decoding in real time...

    tu avrai un computer + una scheda video talmente obsoleti che non hai mai visto in vita tua tutto cio' da Task Manager/Monitoraggio Attività durante la visione di un Video Full HD 1080 25 o 30 p (25 o 30Hz) in streaming web

    perche' non studiate qualcosa prima di scrivere sul Web non lo si capira' mai
    -----------------------------------------------------------
    Modificato dall' autore il 13 dicembre 2011 18.51
    -----------------------------------------------------------
    Fiber
    3605
  • ... aveva proprio ragione.
    maxsix
    9965
  • Adobe reader e flash sono programmi indecenti come l'adobe stessa, ma purtroppo è difficile farne a meno.
    non+autenticato
  • The exploits developed by Intevydis for the two zero-day Flash Player vulnerabilities can bypass Windows anti-exploitation features including DEP and ASLR, and can escape the Internet Explorer sandbox.

    Attendiamo con ansia la nuova arrampicata sugli specchi di Fiber. Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: Le risate
    > The exploits developed by Intevydis for the
    > two zero-day Flash Player vulnerabilities can
    > bypass Windows anti-exploitation features
    > including DEP and ASLR, and can escape the
    > Internet Explorer
    > sandbox
    .
    >
    > Attendiamo con ansia la nuova arrampicata sugli
    > specchi di Fiber.
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    e non lo vedrai dal momento che ha smesso di postare da quando non se lo fila più nessuno
    non+autenticato
  • - Scritto da: mura non loggato
    > - Scritto da: Le risate
    > > The exploits developed
    > by Intevydis for
    > the
    > > two zero-day Flash Player vulnerabilities can
    > > bypass Windows anti-exploitation features
    > > including DEP and ASLR, and can escape the
    > > Internet Explorer
    > > sandbox
    .
    > >
    > > Attendiamo con ansia la nuova arrampicata
    > sugli
    > > specchi di Fiber.
    > > Rotola dal ridereRotola dal ridereRotola dal ridere
    >
    > e non lo vedrai dal momento che ha smesso di
    > postare da quando non se lo fila più
    > nessuno

    An non sapevo che se ne fosse finalmente andato con la coda fra le gambe... era ora, non se ne poteva più di leggere tali boiate. A bocca aperta
    non+autenticato
  • - Scritto da: Le risate
    > - Scritto da: mura non loggato
    > > - Scritto da: Le risate
    > > > The exploits
    > developed
    > > by Intevydis for
    > > the
    > > > two zero-day Flash Player vulnerabilities
    > can
    > > > bypass Windows anti-exploitation features
    > > > including DEP and ASLR, and can escape the
    > > > Internet Explorer
    > > > sandbox
    .
    > > >
    > > > Attendiamo con ansia la nuova arrampicata
    > > sugli
    > > > specchi di Fiber.
    > > > Rotola dal ridereRotola dal ridereRotola dal ridere
    > >
    > > e non lo vedrai dal momento che ha smesso di
    > > postare da quando non se lo fila più
    > > nessuno
    >
    > An non sapevo che se ne fosse finalmente andato
    > con la coda fra le gambe... era ora, non se ne
    > poteva più di leggere tali boiate.
    >A bocca aperta

    ho poco tempo da perdere per star dietro ai bambini ultimamente   ... dopo un po' stufate quindi c'e' molto di meglio da fare



    intanto imparate e tacete

    http://punto-informatico.it/b.aspx?i=3362103&m=336...
    -----------------------------------------------------------
    Modificato dall' autore il 13 dicembre 2011 14.46
    -----------------------------------------------------------
    Fiber
    3605
  • - Scritto da: Fiber
    >
    > intanto imparate e tacete
    >
    > http://punto-informatico.it/b.aspx?i=3362103&m=336
    > --------------------------------------------------
    > Modificato dall' autore il 13 dicembre 2011 14.46
    > --------------------------------------------------

    Ci risiamoTriste
    E' più forte di lui
  • - Scritto da: sbrotfl

    > Ci risiamoTriste
    > E' più forte di lui


    cosa non ti quadrerebbe?

    spiegacelo con argomenti che poi ribatto altrimenti taci che fai prima
    Fiber
    3605
  • - Scritto da: Fiber
    > - Scritto da: sbrotfl
    >
    > > Ci risiamoTriste
    > > E' più forte di lui
    >
    >
    > cosa non ti quadrerebbe?
    >
    > spiegacelo con argomenti che poi ribatto
    > altrimenti taci che fai
    > prima

    Boh non so neanche cosa hai linkato... quando ho visto che era un ennesimo auto-quote ho chiuso pi...
  • - Scritto da: sbrotfl

    > Boh non so neanche cosa hai linkato... quando ho
    > visto che era un ennesimo auto-quote ho chiuso
    > pi...


    non sai perche' non leggi ...quindi io devo star qua a perder tempo con elementi come te che non leggono nemmeno i link che si postano perche' non sai nemmeno far click col mouse ?


    come detto sopra se taci fai piu' bella figura
    Fiber
    3605
  • - Scritto da: Le risate
    > The exploits developed by Intevydis for the
    > two zero-day Flash Player vulnerabilities can
    > bypass Windows anti-exploitation features
    > including DEP and ASLR, and can escape the
    > Internet Explorer
    > sandbox
    .
    >
    > Attendiamo con ansia la nuova arrampicata sugli
    > specchi di Fiber.
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    E con il suo amico cugino del responsabile del Mediaworlddenoialtri a farsi spiegare le strategie di Marketing di Apple.
    maxsix
    9965
  • - Scritto da: Le risate
    > The exploits developed by Intevydis for the
    > two zero-day Flash Player vulnerabilities can
    > bypass Windows anti-exploitation features
    > including DEP and ASLR, and can escape the
    > Internet Explorer
    > sandbox
    .
    >
    > Attendiamo con ansia la nuova arrampicata sugli
    > specchi di Fiber.
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    perche' mi dovrei arrampicare sugli specchi come blateri per delle vulnerablità scovate sui software di Adobe quando le vulnerabilità si scovano su tutti i software piu' usati e diffusi tra la massa , basta aver addosso, per ovvi interessi di $, i cyber criminali?

    intanto ecco le risposte

    http://punto-informatico.it/b.aspx?i=3362103&m=336...

    http://punto-informatico.it/b.aspx?i=3362103&m=336...
    -----------------------------------------------------------
    Modificato dall' autore il 13 dicembre 2011 14.46
    -----------------------------------------------------------
    Fiber
    3605
  • The exploits developed by Intevydis for the two zero-day Flash Player vulnerabilities can bypass Windows anti-exploitation features including DEP and ASLR, and can escape the Internet Explorer sandbox, Legerov wrote on the Immunity mailing list on Tuesday.

    Cioè, la sandbox bypassata è quella di IE, non vedo scritto chrome. Ho letto male io?
    non+autenticato
  • Mah ... per il concetto stesso di sandbox non penso esista un modo generico per bucarle.

    Cioè ammesso di bucare flash e fare eseguire del codice generico non si dovrebbe potere chiamare direttamente il sistema operativo.

    Se poi dei bug specifici di certe sandbox permettano questo è un altro discorso.

    - Scritto da: UbuPinguino
    > The exploits developed by Intevydis for the two
    > zero-day Flash Player vulnerabilities can bypass
    > Windows anti-exploitation features including DEP
    > and ASLR, and can escape the Internet Explorer
    > sandbox, Legerov wrote on the Immunity mailing
    > list on
    > Tuesday.
    >
    > Cioè, la sandbox bypassata è quella di IE, non
    > vedo scritto chrome. Ho letto male
    > io?
    non+autenticato
  • - Scritto da: UbuPinguino
    > The exploits developed by Intevydis for the two
    > zero-day Flash Player vulnerabilities can bypass
    > Windows anti-exploitation features including DEP
    > and ASLR, and can escape the Internet Explorer
    > sandbox, Legerov wrote on the Immunity mailing
    > list on
    > Tuesday.
    >
    > Cioè, la sandbox bypassata è quella di IE, non
    > vedo scritto chrome. Ho letto male
    > io?

    E cosa ti turba di grazia?
  • - Scritto da: sbrotfl
    > - Scritto da: UbuPinguino
    > > The exploits developed by Intevydis for the
    > two
    > > zero-day Flash Player vulnerabilities can
    > bypass
    > > Windows anti-exploitation features including
    > DEP
    > > and ASLR, and can escape the Internet
    > Explorer
    > > sandbox, Legerov wrote on the Immunity
    > mailing
    > > list on
    > > Tuesday.
    > >
    > > Cioè, la sandbox bypassata è quella di IE,
    > non
    > > vedo scritto chrome. Ho letto male
    > > io?
    >
    > E cosa ti turba di grazia?

    che come SandBox viene bypassata solo quella di IE non quella di Chrome visto che l'esecuzione di Flash Player e' sempre figlia del processo che lo invoca = il browser web

    Sul fatto invece che Firefox ad esempio non usa nemmeno la Sandbox quindi se l'exploit bypassa Dep + ASLR poi fila liscio per direttissima   cos'hai da dire invece , ragazzino? Rotola dal ridere

    te la devo fare io la grazia come sempre ..ovvero devo sempre "graziare" le boiate che non vuoi vedere ...tu assieme a tutti gli altri tuoi compari
    -----------------------------------------------------------
    Modificato dall' autore il 13 dicembre 2011 15.07
    -----------------------------------------------------------
    Fiber
    3605
  • - Scritto da: Fiber
    > - Scritto da: sbrotfl
    > > - Scritto da: UbuPinguino
    > > > The exploits developed by Intevydis for
    > the
    > > two
    > > > zero-day Flash Player vulnerabilities
    > can
    > > bypass
    > > > Windows anti-exploitation features
    > including
    > > DEP
    > > > and ASLR, and can escape the Internet
    > > Explorer
    > > > sandbox, Legerov wrote on the Immunity
    > > mailing
    > > > list on
    > > > Tuesday.
    > > >
    > > > Cioè, la sandbox bypassata è quella di
    > IE,
    > > non
    > > > vedo scritto chrome. Ho letto male
    > > > io?
    > >
    > > E cosa ti turba di grazia?
    >
    > che come SandBox viene bypassata solo
    >
    quella di IE non quella di Chrome
    > visto che l'esecuzione di Flash Player e'
    > sempre figlia del processo che lo invoca = il
    > browser web
    >
    >
    > Sul fatto invece che Firefox ad esempio non usa
    > nemmeno la Sandbox quindi si bypassa Dep + ASLR e
    > poi si fila lisci cos'hai da dire invece ,
    > ragazzino?
    > Rotola dal ridere

    OOOOOH Adesso la prendi sul personale perchè ti ho detto di non autoquotarti!!! E dopo sarei io il ragazzino (e non dire di no... si lege benissimo che la tua è una provocazione mirata)
    Ti posso dire che comunque la sandbox posono pure toglierla sia da ie che da chrome... chi si è preso un virus è perchè non sà usare internet e quindi non c'è sandbox che tenga
  • - Scritto da: sbrotfl
    > - Scritto da: Fiber
    > > - Scritto da: sbrotfl
    > > > - Scritto da: UbuPinguino
    > > > > The exploits developed by
    > Intevydis
    > for
    > > the
    > > > two
    > > > > zero-day Flash Player
    > vulnerabilities
    > > can
    > > > bypass
    > > > > Windows anti-exploitation features
    > > including
    > > > DEP
    > > > > and ASLR, and can escape the
    > Internet
    > > > Explorer
    > > > > sandbox, Legerov wrote on the
    > Immunity
    > > > mailing
    > > > > list on
    > > > > Tuesday.
    > > > >
    > > > > Cioè, la sandbox bypassata è
    > quella
    > di
    > > IE,
    > > > non
    > > > > vedo scritto chrome. Ho letto male
    > > > > io?
    > > >
    > > > E cosa ti turba di grazia?
    > >
    > > che come SandBox viene bypassata
    > solo
    > >
    quella di IE non quella di Chrome
    > > visto che l'esecuzione di Flash Player e'
    > > sempre figlia del processo che lo invoca = il
    > > browser web
    > >
    > >
    > > Sul fatto invece che Firefox ad esempio non
    > usa
    > > nemmeno la Sandbox quindi si bypassa Dep +
    > ASLR
    > e
    > > poi si fila lisci cos'hai da dire invece ,
    > > ragazzino?
    > > Rotola dal ridere
    >
    > OOOOOH Adesso la prendi sul personale perchè ti
    > ho detto di non autoquotarti!!! Rotola dal ridere Rotola dal ridereRotola dal ridereRotola dal ridere E dopo sarei io
    > il ragazzino (e non dire di no... si legge
    > benissimo che la tua è una provocazione
    > mirata)
    > Ti posso dire che comunque la sandbox possono pure
    > toglierla sia da ie che da chrome... chi si è
    > preso un virus è perchè non sà usare internet e
    > quindi non c'è sandbox che
    > tenga
  • - Scritto da: UbuPinguino
    > The exploits developed by Intevydis for the two
    > zero-day Flash Player vulnerabilities can bypass
    > Windows anti-exploitation features including DEP
    > and ASLR, and can escape the Internet Explorer
    > sandbox, Legerov wrote on the Immunity mailing
    > list on
    > Tuesday.
    >
    > Cioè, la sandbox bypassata è quella di IE, non
    > vedo scritto chrome. Ho letto male
    > io?



    anche se dopo esser stato eseguito l'exploit iniettato su qualche sito web , exploit che sfruttando la vulnerabilità su Flash Player bypasserebbe Dep & ASLR per far eseguire la shell code di autoinstall malware from remote in Buffer o Heap overflow + l'installzione dello stesso malware bypassasse ANCHE la SandBox andando a scrivere le chiamate nel registro ed i file eseguibili .dll come driver .sys kernel mode nella root di Windows (in C:Windows ) hai sempre lo UAC che deve essere bypassato nelle white list altrimenti l'installer del malware non installa anche se sei loggato con Account Admin + per chi usa la testa   c'e' l'account Limitato con tanto di Password in UAC + come ultimo Layer l'antivirus che detecta e blocca in real time l'exploit tramite euristica e/o detection in the cloud
    -----------------------------------------------------------
    Modificato dall' autore il 13 dicembre 2011 14.42
    -----------------------------------------------------------
    Fiber
    3605
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)