Pagina 1 di 1
[Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11
Inviato: mar feb 03, 2015 8:35 pm
da hashcat
La gravità della vulnerabilità è notevole: visitando una pagina strutturata ad hoc, viene bypassata completamente la Same Origin Policy (SOP). Ciò comporta che:
Gli attaccanti possono rubare qualsiasi risorsa da un altro dominio^ ed iniettare codice attivo in un altro dominio
Inoltre, volendo, è possibile scavalcare anche un'eventuale Content Security Policy imposta dal dominio bersaglio. Ad esempio come quella proposta (ma al momento non ancora implementata) per TLI (QUI).
^Un dominio differente da quello visitato.
PoC (LINK) e discussione su Full Disclosure (LINK).
NOTA: TurboLab.it non è affetto perché impone, oltre ad alcune regole suggerite in QUESTA discussione, la policy di poter essere incorporato in una pagina solo se la richiesta proviene da una pagina locata nello stesso dominio.
P.S.: La vulnerabilità non è stata ancora corretta.
Inviato: mer feb 04, 2015 8:31 am
da developerwinme
Vulnerabilità piuttosto pericolosa, grazie per la segnalazione: Leggo che Microsoft ha riconosciuto il difetto, spero che entro pochi giorni sia pronta una correzione, credo che la circostanza meriti un rilascio di aggiornamento all'infuori del ciclo mensile (che questo mese cade tra pochi giorni, il 10 febbraio).
Re:
Inviato: mer feb 04, 2015 12:47 pm
da hashcat
developerwinme ha scritto:Vulnerabilità piuttosto pericolosa, grazie per la segnalazione: Leggo che Microsoft ha riconosciuto il difetto, spero che entro pochi giorni sia pronta una correzione, credo che la circostanza meriti un rilascio di aggiornamento all'infuori del ciclo mensile (che questo mese cade tra pochi giorni, il 10 febbraio).
Stando a quanto riportato nella mailing list di Full Desclosure, la vulnerabilità è stata resa nota a Microsoft il 13 Ottobre 2014 mentre il primo post pubblico è del 31 Gennaio 2015 quindi (circa 3 mesi e 18 giorni dopo la segnalazione privata). Credo sia stata esposta pubblicamente proprio per "spronare" Microsoft ad occuparsene (in tempi ragionevoli).
Re: [Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11
Inviato: mer feb 04, 2015 1:09 pm
da developerwinme
hashcat ha scritto:developerwinme ha scritto:Vulnerabilità piuttosto pericolosa, grazie per la segnalazione: Leggo che Microsoft ha riconosciuto il difetto, spero che entro pochi giorni sia pronta una correzione, credo che la circostanza meriti un rilascio di aggiornamento all'infuori del ciclo mensile (che questo mese cade tra pochi giorni, il 10 febbraio).
Stando a quanto riportato nella mailing list di Full Desclosure, la vulnerabilità è stata resa nota a Microsoft il
13 Ottobre 2014 mentre il primo post pubblico è del
31 Gennaio 2015 quindi (circa 3 mesi e 18 giorni dopo la segnalazione privata). Credo sia stata esposta pubblicamente proprio per "spronare" Microsoft ad occuparsene (in tempi ragionevoli).
Stando così le cose, supponendo che dietro al ritardo si celino potenziali problemi di compatibilità (non vedo altri motivi leciti per ritardare la risoluzione del problemi): mi auguro ancora che la patch venga sviluppata in fretta, ma senza produrre un aggiornamento dal basso livello qualitativo (come accaduto più volte in precedenza, di recente, per aggiornamenti di Microsoft).
Riguardo la pratica di pubblicare un proof-of-concept e i dettagli di come sfruttare una vulnerabilità continuo a rimanere perplesso: Quando si tratta di falle che riguardano un numero estremamente ampio di utenti (con le relative problematiche di compatibilità e testing degli aggiornamenti), come per prodotti molto diffusi (e con basi di codice estremamente ampie) quali Internet Explorer, iOS, Android, Windows ecc..., credo che 3 mesi (o poco più. come sembra essere lo "standard", visti i recenti casi delle falle pubblicate da Google) possano, in determinati casi, non essere una quantità ragionevole di tempo per la risoluzione del problema: sarebbe interessante sapere se Microsoft ha risposto o meno alla segnalazione di Ottobre confermando al segnalatore che un aggiornamento era previsto.
Comunque, questa è una mia considerazione personale, ampiamente OT, quindi chiudo qui 
Re: [Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11
Inviato: mer feb 04, 2015 1:20 pm
da developerwinme
Ho confermato la falla su Internet Explorer 11.0.15 su Windows 8.1 Update (sia versione desktop che Metro), mentre su Windows Phone 8.10.14219.341 (che usa una versione mobile di Internet Explorer 11), ultima versione disponibile, la falla non è presente.
Re: [Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11
Inviato: mer feb 04, 2015 6:10 pm
da Zane
Grazie per la segnalazione.
Concordo: è sicuramente una vulnerabilità piuttosto seria. Non mi stupirei se l'update fosse già pronto e arrivasse prox sett con il patch day di febbraio... in caso contrario, ora che il PoC è fuori, my aspetto un out-of-band nettamente prima del patch day di marzo...
Re: [Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11
Inviato: mer feb 04, 2015 8:42 pm
da hashcat
developerwinme ha scritto:su Windows Phone 8.10.14219.341 (che usa una versione mobile di Internet Explorer 11), ultima versione disponibile, la falla non è presente.
Buono a sapersi!
Re: [Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11
Inviato: mer feb 11, 2015 9:00 am
da developerwinme
Nel Patch Tuesday di questo mese la falla non è stata corretta ( http://blogs.msdn.com/b/ie/archive/2015 ... lorer.aspx ).
Nei commenti al post, Eric Law, ex membro del team di sviluppo di Internet Explorer (probabilmente anche di posizione elevata: parecchi post ufficiali del blog di IE relativi allo sviluppo di IE 9 e precedenti sono firmati da lui), ha chiesto esplicitamente notizie riguardo la falla in questione: la risposta di un membro del team è stata:
We’re not aware of this vulnerability being actively exploited and are working to address it with an update.
Nel commento di risposta, che condivido, lo stesso Law fa notare che i meccanismi incorporati nel browser per la segnalazione di crash e telemetria in genere non permettono di rilevare se la falla in questione venga utilizzata per attacchi mirati, quindi in questo caso il rischio è di allungare i tempi solo perché Microsoft non rileva che la falla è attivamente utilizzata, mentre magari invece lo è.
Sulla base della risposta, la linea di MS sembra quella di non rilasciare un aggiornamento straordinario: mi auguro che cambino idea. 
Re: [Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11
Inviato: mer feb 11, 2015 11:10 am
da Zane
Grazie Dev! Fammi dire che hanno dato una risposta un po' del cavolo: ci sono mille motivi per cui la telemetria può non aver riportato un attacco mirato già andato a buon fine (perchè il browser non crasha, ad esempio!) ( 
Speriamo davvero cambino idea...
Re: [Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11
Inviato: mer feb 11, 2015 11:25 am
da developerwinme
Zane ha scritto:Fammi dire che hanno dato una risposta un po' del cavolo: ci sono mille motivi per cui la telemetria può non aver riportato un attacco mirato già andato a buon fine
Concordo al 100%.
Sicuramente hanno a disposizione una tra le migliori strumentazioni sul mercato per la telemetria del software, ma questa specifica falla mi sembra particolarmente difficile da individuare tramite telemetria.
L'unica che mi viene in mente è che Windows Defender/MSE possa intercettare codice potenzialmente malevolo nell'HTTP tramite il controllo di rete (processo NirSrv.exe, per intenderci)) e che quindi stiano usando quel canale (magari insieme a cooperazione con altre case che producono software per la sicurezza) per tenere d'occhio la situazione, ma mi sembra una rilevazione abbastanza debole.
Re: Re:
Inviato: gio feb 12, 2015 10:09 pm
da hashcat
hashcat ha scritto:Credo sia stata esposta pubblicamente proprio per "spronare" Microsoft ad occuparsene (
in tempi ragionevoli).
Visto l'andamento si rafforza la mia opinione: è stata una mossa ragionevole.
Re: [Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11
Inviato: mar mar 10, 2015 11:37 pm
da developerwinme
Falla turata (insieme con un nutrito numero di problemi, incluso FREAK): https://technet.microsoft.com/library/security/MS15-018