QR code per la pagina originale

Facebook e MySpace vittime della stessa falla

Un bug nell'applicazione che entrambi i social network sfruttano per l'upload delle immagini può provocare gravi conseguenze per chi navighi con Internet Explorer ed abbia l'esecuzione di controlli ActiveX attivata

,

La promessa, previsione o minaccia espressa da tutti gli esperti del settore sicurezza alla fine del 2007 si sta avverando. Il prossimo terreno di contagio e diffusione di minacce informatiche stanno diventando i social network.

Una nuova vulnerabilità è stata scoperta e sono soggetti ad attacchi attraverso di essa entrambi i social network più popolari, ovvero Facebook e MySpace. Il rischio è che attraverso di essa sia possibile eseguire codice arbitrario sul computer della vittima.

Tutto parte da Aurigma ImageUploader 4.1, l’applicazione che entrambi i social network usano per inviare immagini sui profili e dal controllo ActiveX che si attiva con l’operazione. Una volta sfruttata la vulnerabilità è possibile, per chi ne abbia cognizione, creare un errore da buffer overload che spiani la strada all’esecuzione di codice sulla macchina remota e vittima. Al momento il codice è di pubblico dominio perchè pubblicato su milw0rm.com, dunque ci si aspetta che qualcuno a breve tragga un attacco concreto dalle speculazioni teoriche che illustrano i buchi. Il problema colpisce chi naviga con un browser Internet Explorer avente attiva l’opzione di esecuzione automatica dei controlli ActiveX.

Intanto Aurigma, la casa produttrice del software, ha dichiarato di essere al lavoro per riparare la vulnerabilità che sembra tutta incentrata su una cattiva gestione delle stringhe che hanno assegnata la proprietà “action”. Il problema sarebbe tanto grave da essere giudicato come “highly critical” da Secunia e al momento, non essendoci patch disponibili, l’unico rimedio consigliato è settare kill-bit per il controllo ActiveX Aurigma.

«Ci aspettiamo di sfornare una patch nelle prossime ore e ad ogni modo abbiamo subito avvertito i nostri clienti» sono state le dichiarazioni ufficiali di Aurigma dalla bocca di Jumapili Ikuseghan e riportate da Computerworld.

Notizie su: