La gravità della vulnerabilità è notevole: visitando una pagina strutturata ad hoc, viene bypassata completamente la Same Origin Policy (SOP). Ciò comporta che:
Gli attaccanti possono rubare qualsiasi risorsa da un altro dominio^ ed iniettare codice attivo in un altro dominio
Inoltre, volendo, è possibile scavalcare anche un'eventuale Content Security Policy imposta dal dominio bersaglio. Ad esempio come quella proposta (ma al momento non ancora implementata) per TLI (QUI).
^Un dominio differente da quello visitato.
PoC (LINK) e discussione su Full Disclosure (LINK).
NOTA: TurboLab.it non è affetto perché impone, oltre ad alcune regole suggerite in QUESTA discussione, la policy di poter essere incorporato in una pagina solo se la richiesta proviene da una pagina locata nello stesso dominio.
P.S.:La vulnerabilità non è stata ancora corretta.
Vulnerabilità piuttosto pericolosa, grazie per la segnalazione: Leggo che Microsoft ha riconosciuto il difetto, spero che entro pochi giorni sia pronta una correzione, credo che la circostanza meriti un rilascio di aggiornamento all'infuori del ciclo mensile (che questo mese cade tra pochi giorni, il 10 febbraio).
developerwinme ha scritto:Vulnerabilità piuttosto pericolosa, grazie per la segnalazione: Leggo che Microsoft ha riconosciuto il difetto, spero che entro pochi giorni sia pronta una correzione, credo che la circostanza meriti un rilascio di aggiornamento all'infuori del ciclo mensile (che questo mese cade tra pochi giorni, il 10 febbraio).
Stando a quanto riportato nella mailing list di Full Desclosure, la vulnerabilità è stata resa nota a Microsoft il 13 Ottobre 2014 mentre il primo post pubblico è del 31 Gennaio 2015 quindi (circa 3 mesi e 18 giorni dopo la segnalazione privata). Credo sia stata esposta pubblicamente proprio per "spronare" Microsoft ad occuparsene (in tempi ragionevoli).
developerwinme ha scritto:Vulnerabilità piuttosto pericolosa, grazie per la segnalazione: Leggo che Microsoft ha riconosciuto il difetto, spero che entro pochi giorni sia pronta una correzione, credo che la circostanza meriti un rilascio di aggiornamento all'infuori del ciclo mensile (che questo mese cade tra pochi giorni, il 10 febbraio).
Stando a quanto riportato nella mailing list di Full Desclosure, la vulnerabilità è stata resa nota a Microsoft il 13 Ottobre 2014 mentre il primo post pubblico è del 31 Gennaio 2015 quindi (circa 3 mesi e 18 giorni dopo la segnalazione privata). Credo sia stata esposta pubblicamente proprio per "spronare" Microsoft ad occuparsene (in tempi ragionevoli).
Stando così le cose, supponendo che dietro al ritardo si celino potenziali problemi di compatibilità (non vedo altri motivi leciti per ritardare la risoluzione del problemi): mi auguro ancora che la patch venga sviluppata in fretta, ma senza produrre un aggiornamento dal basso livello qualitativo (come accaduto più volte in precedenza, di recente, per aggiornamenti di Microsoft).
Riguardo la pratica di pubblicare un proof-of-concept e i dettagli di come sfruttare una vulnerabilità continuo a rimanere perplesso: Quando si tratta di falle che riguardano un numero estremamente ampio di utenti (con le relative problematiche di compatibilità e testing degli aggiornamenti), come per prodotti molto diffusi (e con basi di codice estremamente ampie) quali Internet Explorer, iOS, Android, Windows ecc..., credo che 3 mesi (o poco più. come sembra essere lo "standard", visti i recenti casi delle falle pubblicate da Google) possano, in determinati casi, non essere una quantità ragionevole di tempo per la risoluzione del problema: sarebbe interessante sapere se Microsoft ha risposto o meno alla segnalazione di Ottobre confermando al segnalatore che un aggiornamento era previsto.
Comunque, questa è una mia considerazione personale, ampiamente OT, quindi chiudo qui
Ho confermato la falla su Internet Explorer 11.0.15 su Windows 8.1 Update (sia versione desktop che Metro), mentre su Windows Phone 8.10.14219.341 (che usa una versione mobile di Internet Explorer 11), ultima versione disponibile, la falla non è presente.
Concordo: è sicuramente una vulnerabilità piuttosto seria. Non mi stupirei se l'update fosse già pronto e arrivasse prox sett con il patch day di febbraio... in caso contrario, ora che il PoC è fuori, my aspetto un out-of-band nettamente prima del patch day di marzo...
developerwinme ha scritto:su Windows Phone 8.10.14219.341 (che usa una versione mobile di Internet Explorer 11), ultima versione disponibile, la falla non è presente.
Nei commenti al post, Eric Law, ex membro del team di sviluppo di Internet Explorer (probabilmente anche di posizione elevata: parecchi post ufficiali del blog di IE relativi allo sviluppo di IE 9 e precedenti sono firmati da lui), ha chiesto esplicitamente notizie riguardo la falla in questione: la risposta di un membro del team è stata:
We’re not aware of this vulnerability being actively exploited and are working to address it with an update.
Nel commento di risposta, che condivido, lo stesso Law fa notare che i meccanismi incorporati nel browser per la segnalazione di crash e telemetria in genere non permettono di rilevare se la falla in questione venga utilizzata per attacchi mirati, quindi in questo caso il rischio è di allungare i tempi solo perché Microsoft non rileva che la falla è attivamente utilizzata, mentre magari invece lo è.
Sulla base della risposta, la linea di MS sembra quella di non rilasciare un aggiornamento straordinario: mi auguro che cambino idea.
Grazie Dev! Fammi dire che hanno dato una risposta un po' del cavolo: ci sono mille motivi per cui la telemetria può non aver riportato un attacco mirato già andato a buon fine (perchè il browser non crasha, ad esempio!) ( Speriamo davvero cambino idea...
Zane ha scritto:Fammi dire che hanno dato una risposta un po' del cavolo: ci sono mille motivi per cui la telemetria può non aver riportato un attacco mirato già andato a buon fine
Concordo al 100%.
Sicuramente hanno a disposizione una tra le migliori strumentazioni sul mercato per la telemetria del software, ma questa specifica falla mi sembra particolarmente difficile da individuare tramite telemetria.
L'unica che mi viene in mente è che Windows Defender/MSE possa intercettare codice potenzialmente malevolo nell'HTTP tramite il controllo di rete (processo NirSrv.exe, per intenderci)) e che quindi stiano usando quel canale (magari insieme a cooperazione con altre case che producono software per la sicurezza) per tenere d'occhio la situazione, ma mi sembra una rilevazione abbastanza debole.
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.