Alfonso Maruccia

Safari e il baco camuffa URL

Il browser di Apple Ŕ affetto da una vulnerabilitÓ nella gestione degli indirizzi Web, un meccanismo sfruttabile per mascherare siti Web e codice malevolo. Colpito anche Chrome, che per˛ Ŕ giÓ stato sistemato con una patch

Roma - Le versioni desktop e mobile di Safari sono affette da una vulnerabilità sfruttabile per camuffare l'indirizzo del sito visitato dall'utente, un meccanismo di URL spoofing per cui è già disponibile il codice proof-of-concept e che ancora attende la distribuzione di una patch correttiva da parte di Apple.

La vulnerabilità è stata scoperta a febbraio, e permette a un malintenzionato di eseguire uno script - potenzialmente malevolo - subito prima di visitare la pagina Web interessata: nell'exploit pubblicato dai ricercatori, il codice invita a visualizzare il sito del Daily Mail (dailymail.co.uk) mentre carica una pagina altrove.

L'exploit è stato testato con successo sulla versione iPad di Safari e funziona anche su iPhone e Mac, spiegano i ricercatori. La scelta del sito Daily Mail per illustrare il rischio del bug? Un "target" già usato in passato dai ricercatori della stessa azienda (Deusen) per una vulnerabilità di Internet Explorer.
Gli utenti dei prodotti della Mela dovranno ora attendere che Cupertino provveda ad aggiornare le varie versioni di Safari ancora supportate, mentre agli utenti del browser Chrome in versione Android - anch'esso a rischio di URL spoofing - è andata molto meglio: Google ha già provveduto a rilasciare le apposite patch per Android 4.4 e 5.0.

Alfonso Maruccia
71 Commenti alla Notizia Safari e il baco camuffa URL
Ordina
  • A parte chi ce l'ha più veloce (la patch), il grosso dei rischi comincia dal giorno della public disclosure (18 maggio, se non erro).
  • - Scritto da: bradipao
    >
    > A parte chi ce l'ha più veloce (la patch), il
    > grosso dei rischi comincia dal giorno della
    > public disclosure

    vero

    (18 maggio, se non erro)

    vero, a quanto pare il proof-of-concept per Safari è stato rilasciato il 17 Maggio, siam lì comunque
  • - Scritto da: bertuccia
    > - Scritto da: bradipao
    > >
    > > A parte chi ce l'ha più veloce (la patch), il
    > > grosso dei rischi comincia dal giorno della
    > > public disclosure
    >
    > vero
    >
    > (18 maggio, se non erro)
    ehm... quindi riassumendo nel caso Android-Chrome "grosso dei rischi" uguale a zero... (la patch è precedente)...
    Nel caso Apple "grosso dei rischi" 4 giorni (per ora... poi si vedrà).
    Mica lo dico io lo dice il berty!
    A bocca aperta
    non+autenticato
  • - Scritto da: 6 giaguar
    > - Scritto da: bertuccia
    > > - Scritto da: bradipao
    > > >
    > > > A parte chi ce l'ha più veloce (la
    > patch),
    > il
    > > > grosso dei rischi comincia dal giorno
    > della
    > > > public disclosure
    > >
    > > vero
    > >
    > > (18 maggio, se non erro)
    > ehm... quindi riassumendo nel caso Android-Chrome
    > "grosso dei rischi" uguale a zero...

    Peccato che il 50% dei device Android non é (e forse mai lo sará) patchato.
  • - Scritto da: aphex_twin
    > Peccato che il 50% dei device Android non é (e
    > forse mai lo sará)
    > patchato.

    Ma il forse esclude il 50%A bocca aperta
    E comunque è un non problema visto che puoi aggirare la cosa con un altro browser,sempre a differenza vostra.
    Tra l'altro a voi il problema è più ampio perchè non è solo sul mobile...
    non+autenticato
  • - Scritto da: aphex_twin
    > - Scritto da: 6 giaguar
    > > - Scritto da: bertuccia
    > > > - Scritto da: bradipao
    > > > >
    > > > > A parte chi ce l'ha più veloce (la
    > > patch),
    > > il
    > > > > grosso dei rischi comincia dal
    > giorno
    > > della
    > > > > public disclosure
    > > >
    > > > vero
    > > >
    > > > (18 maggio, se non erro)
    > > ehm... quindi riassumendo nel caso
    > Android-Chrome
    > > "grosso dei rischi" uguale a zero...
    >
    > Peccato che il 50% dei device Android non é (e
    > forse mai lo sará)
    > patchato.
    Peccato che si tratta della patch del browser (ti arriva in automatico) non dellA VERSIONE DELL'os.
    Come solito non sai quello di cui parli....
    non+autenticato
  • Ma dai,da febbraio eh,capiscoA bocca aperta

    Eh i cipolletti fuffa appliani che proprio ieri millantavano la loro sicurezzaA bocca aperta
    non+autenticato
  • - Scritto da: Etype
    >
    > Ma dai,da febbraio eh,capiscoA bocca aperta

    infatti, Google ci ha messo da Febbraio a Maggio per risolvere.

    Vedi qui
    https://community.rapid7.com/Rapid7_BlogPostDetail...

    poi il 18 maggio c'è stata la disclosure del bug, quindi Apple ne è venuta a conoscenza in quella data. Dato che a febbraio i ricercatori avevano trovato il bug solo su Android, quindi avevano avvertito solo Google.

    Ora qualcuno ha leggermente modificato l'exploit per adattarlo a Safari. L'articolo originale infatti dice "a similar flaw found in Safari"
    http://www.zdnet.com/article/safari-chrome-hit-by-.../

    Quindi: google ha impiegato 2 mesi.

    Vediamo adesso quanto ci mette apple. Per ora siamo a 3 giorni.

    >
    > Eh i cipolletti fuffa appliani che proprio ieri
    > millantavano la loro sicurezza
    >A bocca aperta

    aaah, manco leggere Etype.

    Ah già, gli articoli in inglese sono difficili Rotola dal ridere
    -----------------------------------------------------------
    Modificato dall' autore il 21 maggio 2015 14.24
    -----------------------------------------------------------
  • - Scritto da: bertuccia

    > infatti, Google ci ha messo da Febbraio a Maggio
    > per
    > risolvere.

    Ma voi non eravate diversi ?A bocca aperta

    > poi il 18 maggio c'è stata la disclosure del bug,
    > quindi Apple ne è venuta a conoscenza in quella
    > data.

    Certo credici pure...
    Sapendo che in apple nonostante sollecitazioni esterne se ne fregano ugualmente...

    > Dato che a febbraio i ricercatori avevano
    > trovato il bug solo su Android, quindi avevano
    > avvertito solo
    > Google.

    Perchè avevano preso in considerazione solo AndroidOcchiolino

    > Ora qualcuno ha leggermente modificato l'exploit
    > per adattarlo a Safari.

    Quindi è colpa di Google oraA bocca aperta

    > L'articolo originale infatti dice "a similar
    > flaw found in
    > Safari"
    > http://www.zdnet.com/article/safari-chrome-hit-by-

    e simile significa che hanno preso la falla di Google e l'hanno adattata a quella di Apple e ha pure funzionato ?A bocca aperta

    > Quindi: google ha impiegato 2 mesi.

    Quindi Google ha risolto prima di voi

    > Vediamo adesso quanto ci mette apple. Per ora
    > siamo a 3
    > giorni.

    ah non 3 minuti ?A bocca aperta

    > aaah, manco leggere Etype.

    Non leggo la fuffa che postiOcchiolino

    > Ah già, gli articoli in inglese sono difficili
    > Rotola dal ridere

    Più che altro per te sono difficili comprenderne il significatoA bocca aperta

    Utenti apple msempre arroganti e palloni gonfiati,e non vi si fila nessuno,figuriamoci.
    non+autenticato
  • - Scritto da: Etype
    >
    > Ma voi non eravate diversi ?A bocca aperta

    certo, infatti avremo il fix sicuramente in meno tempo

    > Certo credici pure...
    > Sapendo che in apple nonostante sollecitazioni
    > esterne se ne fregano ugualmente...

    vedremo. Segniamo il post? Occhiolino

    > Perchè avevano preso in considerazione solo
    > Android Occhiolino

    sapevano che lì andavano a colpo sicuro! A bocca aperta

    > Quindi è colpa di Google oraA bocca aperta

    e chi l'ha detto?

    io vi ho solo fatto notare che il bug sui dispositivi Apple è stato scoperto il 17 Maggio. E questo è un fatto.

    Google invece è stata avvisata il 9 Febbraio, come documentato dal team di ricercatori

    Renditi conto che nel tuo primo post hai scritto delle stupidaggini come tuo solito.

    > e simile significa che hanno preso la falla di
    > Google e l'hanno adattata a quella di Apple e ha
    > pure funzionato ?
    >A bocca aperta

    esatto. Falla che è stata resa nota a Google (e solo Google) il 9 Febbraio, mentre al resto del mondo (public disclosure) il 18 Maggio. O 17 Maggio, vedi tu.

    > Quindi Google ha risolto prima di voi

    I bug vengono risolti quando vengono scoperti.

    Su android è stato scoperto il 9 Febbraio.
    Su iOS il 17 Maggio.

    riesci a capirlo? pare di no.

    > Non leggo la fuffa che postiOcchiolino

    la "fuffa" che posto è il link alla pagina dei ricercatori che hanno scoperto il bug

    LOL

    > Più che altro per te sono difficili comprenderne
    > il significato
    >A bocca aperta

    infatti guarda un po' chi sta facendo figuracce a nastro?

    >
    > Utenti apple msempre arroganti e palloni
    > gonfiati,e non vi si fila
    > nessuno,figuriamoci.

    e anche per te, una bella rosikata finale. Bravo! A bocca aperta
  • - Scritto da: bertuccia
    > certo, infatti avremo il fix sicuramente in meno
    > tempo

    Perchè ora sanno dove mettere le mani e prima no ?A bocca aperta

    > sapevano che lì andavano a colpo sicuro! A bocca aperta

    Sapevano che viene usato oltre l'80%Occhiolino

    > e chi l'ha detto?

    Se l'hanno scoperto nel browser di google e l'hanno adattato a quello di apple...

    > io vi ho solo fatto notare che il bug sui
    > dispositivi Apple è stato scoperto il 17 Maggio.
    > E questo è un
    > fatto.

    O si sapeva anche prima ?

    > Renditi conto che nel tuo primo post hai scritto
    > delle stupidaggini come tuo
    > solito.

    E tu renditi conto che hanno preso un bug di una'altro browser per un altro OS e lo hanno adattato ai sistemi apple,desktop compresi, e ha funzionato.
    Oltretutto non ti rendi conto che agli altri gli basta cambiare browser..

    > esatto. Falla che è stata resa nota a Google (e
    > solo Google) il 9 Febbraio, mentre al resto del
    > mondo (public disclosure) il 18 Maggio. O 17
    > Maggio, vedi
    > tu.

    Fossi in te mi farei qualche domanda sull'esportazione di bug altrui nei vostri sistemi.
    Non solo,quando è stato scoperto per il browser di Google Apple non si è neanche preccupata che poteva succedere una cosa simile al suo di browser...

    > I bug vengono risolti quando vengono scoperti.

    In questo caso si poteva gettare un occhio già da prima.

    > infatti guarda un po' chi sta facendo figuracce a
    > nastro?

    Bertuccia come al solito ?A bocca aperta

    > e anche per te, una bella rosikata finale. Bravo!
    >
    >A bocca aperta

    Muahahah credici pure pivelloOcchiolino
    non+autenticato
  • - Scritto da: Etype
    >
    > Non solo,quando è stato scoperto per il browser
    > di Google Apple non si è neanche preccupata che
    > poteva succedere una cosa simile al suo di
    > browser...

    MA SVEGLIATI!

    il bug è stato segnalato PRIVATAMENTE a google!

    a Febbraio lo sapevano per certo solo:

    * Rafay Baloch, primo scopritore del bug
    * il team Rapid7 e Joe Vennix (autore del PoC)
    * Google

    NESSUN ALTRO NE ERA UFFICIALMENTE AL CORRENTE

    e il bello è che te l'ho scritto e documentato con le prove già nel mio primo messaggio, ma tu come al solito ci metti secoli a capire le cose


    il 17 Maggio è stato rilasciato un PoC per Safari e il 18 Maggio c'è stata la public disclosure del bug di Android

    quella è la data in cui il mondo, Apple inclusa, è venuto a sapere dell'esistenza di quel bug


    /PLONK
  • - Scritto da: bertuccia

    >
    > il 17 Maggio è stato rilasciato un PoC per Safari
    > e il 18 Maggio c'è stata la public disclosure del
    > bug di
    > Android
    >
    > quella è la data in cui il mondo, Apple inclusa,
    > è venuto a sapere dell'esistenza di quel
    > bug

    Ok, questa e' la tua illusione.

    Cronaca dice tutt'altro: il bug risale a febbraio.

    Ora, tu, per motivi religiosi puoi benissimo pensare che sia il sole a girare attorno alla terra, ma questo non cambia la cruda realta'.

    Clicca per vedere le dimensioni originali

    Nel frattempo abbi l'accortezza di non usare safari o di smettere di cliccare su tutto quello che e' cliccabile.
  • - Scritto da: Etype
    > Oltretutto non ti rendi conto che agli altri gli
    > basta cambiare
    > browser..
    >

    Come tutti! Annoiato

    > Fossi in te mi farei qualche domanda
    > sull'esportazione di bug altrui nei vostri
    > sistemi.
    > Non solo,quando è stato scoperto per il browser
    > di Google Apple non si è neanche preccupata che
    > poteva succedere una cosa simile al suo di
    > browser...
    >

    Quando é stato scoperto SOLO Google lo sapeva.

    > > I bug vengono risolti quando vengono scoperti.
    >
    > In questo caso si poteva gettare un occhio già da
    > prima.
    >

    In questo esatto momento ci sono bug su OSX , Windows, Linux, che ancora non sono conosciuti ... come mai non gettano un occhio e li risolvono tutti ?
  • - Scritto da: aphex_twin
    > - Scritto da: Etype
    > > Oltretutto non ti rendi conto che agli altri
    > gli
    > > basta cambiare
    > > browser..
    > >
    >
    > Come tutti! Annoiato
    >
    > > Fossi in te mi farei qualche domanda
    > > sull'esportazione di bug altrui nei vostri
    > > sistemi.
    > > Non solo,quando è stato scoperto per il
    > browser
    > > di Google Apple non si è neanche preccupata
    > che
    > > poteva succedere una cosa simile al suo di
    > > browser...
    > >
    >
    > Quando é stato scoperto SOLO Google lo sapeva.

    Questo lo stai dicendo tu, lo dice google, lo dice chi ha scoperto il bug o lo dice apple per non fare la solita figura da peracottare che se ne frega di correggere i gravi errori di sistema ma che invece ci tiene tanto all'integrita' estetica dei loro prodotti?

    > > > I bug vengono risolti quando vengono
    > scoperti.
    > >
    > > In questo caso si poteva gettare un occhio
    > già
    > da
    > > prima.
    > >
    >
    > In questo esatto momento ci sono bug su OSX ,
    > Windows, Linux, che ancora non sono conosciuti
    > ... come mai non gettano un occhio e li risolvono
    > tutti ?

    Proprio l'altro giorno ho installato una patch di una applicazione che utilizzo che risolveva proprio un problema minore.
  • - Scritto da: panda rossa
    > Questo lo stai dicendo tu, lo dice google, lo
    > dice chi ha scoperto il bug o lo dice apple per
    > non fare la solita figura da peracottare che se
    > ne frega di correggere i gravi errori di sistema
    > ma che invece ci tiene tanto all'integrita'
    > estetica dei loro
    > prodotti?
    >

    A te che ti frega ? Tanto a te basta che lo dica il tuo mentore Maruccia.

    A che ti serve approfondire se ti dice giá tutto PI ? A bocca aperta

    > Proprio l'altro giorno ho installato una patch di
    > una applicazione che utilizzo che risolveva
    > proprio un problema
    > minore.

    E tanti altri devono ancora essere scoperti.
  • - Scritto da: aphex_twin
    > - Scritto da: panda rossa
    > > Questo lo stai dicendo tu, lo dice google, lo
    > > dice chi ha scoperto il bug o lo dice apple
    > per
    > > non fare la solita figura da peracottare che
    > se
    > > ne frega di correggere i gravi errori di
    > sistema
    > > ma che invece ci tiene tanto all'integrita'
    > > estetica dei loro
    > > prodotti?
    > >
    >
    > A te che ti frega ? Tanto a te basta che lo dica
    > il tuo mentore
    > Maruccia.

    Tu te ne sei uscito con una affermazione precisa.
    Puoi dimostrarla se vuoi.
    Oppure affidarti alla tua autorevole credibilita'.

    > A che ti serve approfondire se ti dice giá
    > tutto PI ?
    >A bocca aperta

    A me non serve a niente. Tanto l'argomento in oggetto e' una cosa di cui non frega niente a nessuno se non ci fosse un gruppetto di esaltati predicatori della religione apple su questo forum.

    > > Proprio l'altro giorno ho installato una
    > patch
    > di
    > > una applicazione che utilizzo che risolveva
    > > proprio un problema
    > > minore.
    >
    > E tanti altri devono ancora essere scoperti.

    Puoi smettere di usare il software se hai tutti questi problemi esistenziali.
    Ti avvolgi le briglie dell'aratro sulle spalle e vai a tracciare il solco da solo.
    Funzionava cosi' una volta.
  • Falla scoperta a Febbraio.
    Exploit pubblicato da un pezzo.
    Di risoluzione del problema non se ne parla.
    E siamo alla fine di maggio.

    E Bertuccia e i suoi non verranno qui a commentare.
    E improvvisamente passera' il T-1000 a fare pulizia dei commenti scomodi.
  • - Scritto da: panda rossa
    > Falla scoperta a Febbraio.
    > Exploit pubblicato da un pezzo.
    > Di risoluzione del problema non se ne parla.
    > E siamo alla fine di maggio.
    >
    > E Bertuccia e i suoi non verranno qui a
    > commentare.
    > E improvvisamente passera' il T-1000 a fare
    > pulizia dei commenti
    > scomodi.

    Ecco ora spiegalo anche al 50% degli utilizzatori Android. Annoiato

    http://www.droid-life.com/tag/distribution/
  • - Scritto da: aphex_twin
    > - Scritto da: panda rossa
    > > Falla scoperta a Febbraio.
    > > Exploit pubblicato da un pezzo.
    > > Di risoluzione del problema non se ne parla.
    > > E siamo alla fine di maggio.
    > >
    > > E Bertuccia e i suoi non verranno qui a
    > > commentare.
    > > E improvvisamente passera' il T-1000 a fare
    > > pulizia dei commenti
    > > scomodi.
    >
    > Ecco ora spiegalo anche al 50% degli utilizzatori
    > Android.
    >Annoiato
    >
    > http://www.droid-life.com/tag/distribution/

    Che c'entra?
    Gli utilizzatori di android mica usano safari.
  • Forse ti sei fatto prender troppo dall'entusiasmo e dalla frenesia , inizia a leggere tutto l'articolo e capirai perché l'ho scritto.
  • - Scritto da: aphex_twin
    > Forse ti sei fatto prender troppo dall'entusiasmo
    > e dalla frenesia , inizia a leggere tutto
    > l'articolo e capirai perché l'ho
    > scritto.

    Troppa fatica.
    Dimmelo tu perche' lo hai scritto.
    E cerca di essere esplicito, per una migliore chiarezza di dialogo.
  • "mentre agli utenti del browser Chrome in versione Android - anch'esso a rischio di URL spoofing - è andata molto meglio: Google ha già provveduto a rilasciare le apposite patch per Android 4.4 e 5.0."

    http://www.droid-life.com/tag/distribution/

    Il 50% dei device Android in circolazione sono esposti.
  • - Scritto da: aphex_twin
    > "mentre agli utenti del browser Chrome in
    > versione Android - anch'esso a rischio di URL
    > spoofing - è andata molto meglio: Google ha già
    > provveduto a rilasciare le apposite patch per
    > Android 4.4 e
    > 5.0."
    >
    > http://www.droid-life.com/tag/distribution/
    >
    > Il 50% dei device Android in circolazione sono
    > esposti.

    L'articolo parla di un bug di safari scoperto a febbraio e non ancora risolto.

    Mi spieghi per quale motivo devi andare a guardare le pagliuzze negli occhi altrui quando hai un palo nell'oculo di cui preoccupari?
  • - Scritto da: panda rossa
    >
    > L'articolo parla di un bug di safari scoperto a
    > febbraio e non ancora
    > risolto.

    sbagliato, il bug è stato segnalato solo a google, privatamente, a Febbraio.

    Non riguardava iOS, infatti per iOS e è stata pubblicata una variante il 17 Maggio.
    Il 18 Maggio c'è stata la public disclosure del bug di Android.

    Quindi Apple non poteva sapere del bug prima del 17 maggio.


    Morale della favola:
    Google ci ha messo 2 mesi a correggere.
    Apple... siamo a 4 giorni, vedremo Sorride

    tutti i riferimenti qui
    http://punto-informatico.it/b.aspx?i=4247879&m=424...


    > Mi spieghi per quale motivo devi andare a
    > guardare le pagliuzze negli occhi altrui quando
    > hai un palo nell'oculo di cui
    > preoccupari?

    noi guardiamo la vostra trave e ridiamo da matti Rotola dal ridere
  • - Scritto da: bertuccia

    > noi guardiamo la vostra trave e ridiamo da matti
    > Rotola dal ridere

    Più noi che vediamo i vostri igiocattolini in tutte le salse avere lo stesso problema,desktop compresiA bocca aperta
    non+autenticato
  • - Scritto da: bertuccia
    > - Scritto da: panda rossa
    > >
    > > L'articolo parla di un bug di safari
    > scoperto
    > a
    > > febbraio e non ancora
    > > risolto.
    >
    > sbagliato, il bug è stato segnalato solo a
    > google, privatamente, a
    > Febbraio.
    >
    > Non riguardava iOS, infatti per iOS e è stata
    > pubblicata una variante il 17
    > Maggio.
    > Il 18 Maggio c'è stata la public disclosure del
    > bug di
    > Android.
    >
    > Quindi Apple non poteva sapere del bug prima del
    > 17
    > maggio.
    >
    >
    > Morale della favola:
    > Google ci ha messo 2 mesi a correggere.
    > Apple... siamo a 4 giorni, vedremo Sorride
    >
    > tutti i riferimenti qui
    > http://punto-informatico.it/b.aspx?i=4247879&m=424
    >
    >
    > > Mi spieghi per quale motivo devi andare a
    > > guardare le pagliuzze negli occhi altrui
    > quando
    > > hai un palo nell'oculo di cui
    > > preoccupari?
    >
    > noi guardiamo la vostra trave e ridiamo da matti
    > Rotola dal ridere

    Vostra di chi?

    Tu hai nella mano sbagliata un costoso portafrutta perforable e ridi da matti?
    Contento tu.

    Io se avessi uno strumento fallato in mano mi preoccuperei della sicurezza dei miei dati, e non andrei certo a trovar consolazione a guardare nei giardini altrui.
  • - Scritto da: panda rossa


    vedo che sulle tempistiche di patch non controbatti, ammettendo così di aver postato senza sapere come sono andate realmente le cose

    e anche oggi la tua figuraccia l'hai fatta Rotola dal ridere

    >
    > Vostra di chi?
    >
    > Tu hai nella mano sbagliata un costoso
    > portafrutta perforable e ridi da matti?
    > Contento tu.
    >
    > Io se avessi uno strumento fallato in mano mi
    > preoccuperei della sicurezza dei miei dati, e non
    > andrei certo a trovar consolazione a guardare nei
    > giardini altrui.

    segue la ormai classica rosicata

    un copione perfetto, bravo Occhiolino
    -----------------------------------------------------------
    Modificato dall' autore il 21 maggio 2015 16.27
    -----------------------------------------------------------