Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Commenti a "Falla in win32k.sys consente di bypassare UAC"

Vuoi discutere qualcosa che riguarda le nostre News? Vuoi darci la tua opinione sui nostri articoli? Complimentarti o muovere una critica? Questa è la sezione giusta!

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda nV 25 » dom nov 28, 2010 2:15 pm

OT: come si fa ad editare un messaggio?? qui su MegaLab?
Avatar utente
nV 25
Aficionado
Aficionado
 
Messaggi: 76
Iscritto il: mar ott 26, 2010 7:47 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda farbix89 » dom nov 28, 2010 2:18 pm

nV 25 ha scritto:OT: come si fa ad editare un messaggio?? qui su MegaLab?


Puoi editare un messaggio entro 10 minuti dalla pubblicazione,dopo non si può.
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda deepdark » dom nov 28, 2010 8:50 pm

Gnulinux866 ha scritto:
Scusa ma il contenuto dei link che posti lo leggi?

Riporti dei link di vecchie vulnerabilità del kernel Linux di diversi anni fa, oltre tutto vulnerabilità risolte con l'upgrade alla versione successiva del kernel stesso, ti fai ingannare dalla dicitura " Unpatched " ma devi leggere oltre, ci sono i CVE con relativi link, altrimenti come mai Secunia non trova nessuna falla aperta in tutte le versioni di Ubuntu? Prova a cercare, anzi leggi bene il contenuto di quello che posti.
Lasciamo questo piccolo ot, torniamo al problema della vulnerabilità del kernel di tutti i Windows in "Life Cycle", le falle 0day con relativo exploit rappresentano delle autentiche porte d'ingresso, se queste porte sono aperte solo da locale, bisogna utilizzare un veicolo per sfruttare l'exploit, che può essere un malware o un altra falla, ci sono prodotti continuamente fallati vedi IE, Flash Player, Adobe Reader, che possono fare da veicolo, Microsoft deve patchare in tempi brevissimi questa falla, per evitare che i virus writers la prendano da riferimento per sparare malware a gogo, l'API NtGdiEnableEUDC non convalida correttamente alcuni input, causando uno stack overflow sovrascrivendone l'indirizzo di ritorno immagazzinato nello stack, un hacker con del malware ad hoc potrebbe facilmente sovrascrivere quell'indirizzo per dirottare le istruzioni a proprio piacimento, per questo Ms deve intervenire subito.

Comunque, visto che ti lamenti di chi commenta e da alla falla la giusta importanza, accusando di sparare a 0, ti faccio presente che sono disponibili sul web anche articoli, che seguono la stessa linea della criticità:

http://www.tomshw.it/cont/news/windows- ... 271/1.html

http://punto-informatico.it/3045943/PI/ ... ernel.aspx


Li leggo, era solo per dimostrare che non è SOLO win a soffrire di suddeti pericoli. Diamo tempo pure a microsoft di patchare, no? Che poi ci metta un mese per farlo forse è troppo, di certo su win non ci girano 3 programmi, bisogna verificarne la compatibilità prima.

Non c'è bisogno di linkarmi articoli che conosco bene e che non dicono nulla di nuovo, sono cose dette anche qui su MegaLab, ma SECUNIA (non punto informatico o tomshw o pincopallino) la definisce LESS CRITICAL, se poi un domani uscisse (e sono sicuro che lo farà) un malware che sfrutta questa falla, sarà diverso dagli altri solo perché bypassa l'account admin. Però per farlo:

Bisogna sfruttare una falla di qualche programma (adobe reader,flash, quicktime, i.e. con uac disabilitato, firefox, java) che ad oggi non c'è.
Bisogna ricevere un file o andare su di un sito dove sia presente il malware e che sfrutti la falla.
Bisogna una mancanza di protezione (antivirus in primis) che non riconosca il file/exploit.
Bisogna rispettare contemporaneamente i suddetti casi.

Insomma, bisogna avere una sfiga enorme. Certo, se poi non si tiene il sistema aggiornato non credo sia colpa di microsoft o in generale delle software house.

Per quanto riguarda il discorso "sparare a zero" non mi riferisco a MegaLab o altri utenti, semplicemente quanto esce una falla per win c'è la fila per fare disinformazione (non qui) o comunque a non analizzare la situazione per quello che è realmente, viceversa, quando ci sono falle MOSTRUOSE ( http://www.MegaLab.it/6581/firesheep-e- ... i-protegge ) sembra quasi che sia normale.
Avatar utente
deepdark
Aficionado
Aficionado
 
Messaggi: 45
Iscritto il: mar gen 05, 2010 3:19 pm


Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda sampei.nihira » dom nov 28, 2010 9:17 pm

nV 25 ha scritto:se ti riferisci a me ti sbagli perché (presuntuosamente, quando parlo di questi argomenti) è difficile che dia fiato alle corde senza sapere di cosa stò parlando, tant'è vero che il test da me condotto con DW si presta ad un'unica conclusione, e cioè che questo policy based sandbox (sceenshot alla mano...) è in grado di contenere l'exploit in questione senza dar adito a se, ma o dubbi di altro genere.

Detto questo, invece che portare a testimonianza un video (pur chiaro..) in cinese, era sufficente linkare il video girato direttamente da eraser (oltretutto, su un OS italiano),
http://www.youtube.com/watch?v=kkXaLsDG4j0


Infatti, io, non mi stavo riferendo a te,seppur quotandoti, ma solo per una migliore comprensione della platea dei lettori........

Platea dei lettori che spesso,(mi immedesimo nei loro panni) probabilmente fanno notevole fatica a comprendere alcuni discorsi scritti.
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda Gnulinux866 » lun nov 29, 2010 9:32 am

deepdark ha scritto:Li leggo, era solo per dimostrare che non è SOLO win a soffrire di suddeti pericoli. Diamo tempo pure a microsoft di patchare, no? Che poi ci metta un mese per farlo forse è troppo, di certo su win non ci girano 3 programmi, bisogna verificarne la compatibilità prima.

Non c'è bisogno di linkarmi articoli che conosco bene e che non dicono nulla di nuovo, sono cose dette anche qui su MegaLab, ma SECUNIA (non punto informatico o tomshw o pincopallino) la definisce LESS CRITICAL, se poi un domani uscisse (e sono sicuro che lo farà) un malware che sfrutta questa falla, sarà diverso dagli altri solo perché bypassa l'account admin. Però per farlo:

Bisogna sfruttare una falla di qualche programma (adobe reader,flash, quicktime, i.e. con uac disabilitato, firefox, java) che ad oggi non c'è.
Bisogna ricevere un file o andare su di un sito dove sia presente il malware e che sfrutti la falla.
Bisogna una mancanza di protezione (antivirus in primis) che non riconosca il file/exploit.
Bisogna rispettare contemporaneamente i suddetti casi.

Insomma, bisogna avere una sfiga enorme. Certo, se poi non si tiene il sistema aggiornato non credo sia colpa di microsoft o in generale delle software house.

Per quanto riguarda il discorso "sparare a zero" non mi riferisco a MegaLab o altri utenti, semplicemente quanto esce una falla per win c'è la fila per fare disinformazione (non qui) o comunque a non analizzare la situazione per quello che è realmente, viceversa, quando ci sono falle MOSTRUOSE ( http://www.MegaLab.it/6581/firesheep-e- ... i-protegge ) sembra quasi che sia normale.


Se avresti letto il contenuto di quei link, non li avresti certamente postati, poiché come ti ho spiegato prima, riguardano vecchie vulnerabilità risolte nell'upgrade del Kernel, lo stato "unpatched " riguarda le versione non più in life-cycle.

La celerità nel patchare quando si tratta di sicurezza dovrebbe essere al 1° posto, a maggior ragione quando il prodotto vulnerabile è molto diffuso.

Secunia, declassifica sempre le falle che portano da uno sfruttamento locale, già la falla in questione è già sfruttata da alcuni malware, non a caso Ms a confermato il problema, dichiarando di essere a lavoro per una patch, che probabilmente arriverà il 14 Dicembre data del prossimo patch day.

Come dicevamo una falla in locale con relativo exploit può essere veicolata da altro malware o sfruttare altre falle, i software che citi tu, sono vulnerabili 365 giorni all'anno su Flashplayer e Adobe Reader vediamo falle gravi almeno 1 volta al mese, Internet Expplorer in tutte le sue versione ha diverse falle "unpatched" basta visitare Secunia.

Sul discorso di mancanza di protezione, hai dato spunto per una riflessione, su Os X e distro Linux, l'utente domestico può fare a meno di antivirus e firewall non tanto per la scarsità di malware visto che i trojan e rootkit esistono per tutti, ma per via del fatto che il sistema che gestisce la scissione dei privilegi utente funziona a dovere, mentre su Windows antivirus e firewall sono basilari, visto che parte del cuore del sistema rimane scoperto, falla in questione a parte, alcune scelte di Microsoft sul comportamento del proprio sono discutibili:

http://www.withinwindows.com/2009/05/02 ... hite-list/

http://leo.lss.com.au/W7E_VID_INT/W7E_VID_INT.htm

http://leo.lss.com.au/W7E_VID_DRA/W7E_VID_DRA.htm
Avatar utente
Gnulinux866
Aficionado
Aficionado
 
Messaggi: 89
Iscritto il: ven set 18, 2009 10:41 am

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda sampei.nihira » lun nov 29, 2010 11:16 am

Gnulinux866 ha scritto:....non a caso Ms ha confermato il problema, dichiarando di essere a lavoro per una patch, che probabilmente arriverà il 14 Dicembre data del prossimo patch day.Come dicevamo una falla in locale con relativo exploit può essere veicolata da altro malware o sfruttare altre falle,


Vero. [^]

MS ha dichiarato di non aver urgenza a far uscire la patch prima delle cadenze prefissate perché il bug per essere sfruttato da remoto necessita di un secondo exploit.
Quindi una patch immediata è ovviamente, secondo le intenzioni,da escludersi a priori.
Ovviamente,per tutti, sarebbe meglio rendere disponibile la patch il secondo martedì di Dicembre e non aspettare la scadenza di gennaio....
Buona giornata. [:)]
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda claudione » lun nov 29, 2010 8:41 pm

Gnulinux866 ha scritto:
deepdark ha scritto:su Os X e distro Linux, l'utente domestico può fare a meno di antivirus e firewall non tanto per la scarsità di malware visto che i trojan e rootkit esistono per tutti, ma per via del fatto che il sistema che gestisce la scissione dei privilegi utente funziona a dovere,


Sei sicuro di quello che dici? Mi spieghi allora come mai che ogni tot mesi escono bollettini di sicurezza e patch per falle di sicurezza in sudo delle più importanti distro linux?
https://encrypted.google.com/search?hl= ... =&gs_rfai=
Avatar utente
claudione
Neo Iscritto
Neo Iscritto
 
Messaggi: 2
Iscritto il: lun mag 04, 2009 9:07 am

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda claudione » lun nov 29, 2010 8:44 pm

Gnulinux866 ha scritto:su Os X e distro Linux, l'utente domestico può fare a meno di antivirus e firewall non tanto per la scarsità di malware visto che i trojan e rootkit esistono per tutti, ma per via del fatto che il sistema che gestisce la scissione dei privilegi utente funziona a dovere


Sei sicuro di quello che dici? Mi spieghi allora come mai che ogni tot mesi escono bollettini di sicurezza e patch per falle di sicurezza in sudo delle più importanti distro linux? Vedi qui: https://encrypted.google.com/search?hl= ... =&gs_rfai=
Avatar utente
claudione
Neo Iscritto
Neo Iscritto
 
Messaggi: 2
Iscritto il: lun mag 04, 2009 9:07 am

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda Gnulinux866 » mar nov 30, 2010 10:32 am

claudione ha scritto:
Gnulinux866 ha scritto:su Os X e distro Linux, l'utente domestico può fare a meno di antivirus e firewall non tanto per la scarsità di malware visto che i trojan e rootkit esistono per tutti, ma per via del fatto che il sistema che gestisce la scissione dei privilegi utente funziona a dovere


Sei sicuro di quello che dici? Mi spieghi allora come mai che ogni tot mesi escono bollettini di sicurezza e patch per falle di sicurezza in sudo delle più importanti distro linux? Vedi qui: https://encrypted.google.com/search?hl= ... =&gs_rfai=


Perché " sudo " come qualsiasi altro software non è esente da bug, che vengo prontamente corrette in tempi brevissimi, che un eventuale exploit non fa nemmeno in tempo ad uscire che c'è già la patch pronta, comunque un bug di sudo non è come il kernel scoperto dal UAC di Windows, sudo o non sudo serve sempre la password per ottenere i diritti amministrativi, SUDO non è il UAC di Ubuntu o OsX, , la scissione dei privilegi utenti su tutti i sistemi *nix like è gestita in maniera diversa e maggiormente sicura rispetto il UAC di Windows.
Avatar utente
Gnulinux866
Aficionado
Aficionado
 
Messaggi: 89
Iscritto il: ven set 18, 2009 10:41 am

Re: Commenti a "Falla in win32k.sys consente di bypassare UA

Messaggioda developerwinme » gio dic 02, 2010 7:39 am

Gnulinux866 ha scritto:Perché " sudo " come qualsiasi altro software non è esente da bug, che vengo prontamente corrette in tempi brevissimi, che un eventuale exploit non fa nemmeno in tempo ad uscire che c'è già la patch pronta, comunque un bug di sudo non è come il kernel scoperto dal UAC di Windows, sudo o non sudo serve sempre la password per ottenere i diritti amministrativi, SUDO non è il UAC di Ubuntu o OsX, , la scissione dei privilegi utenti su tutti i sistemi *nix like è gestita in maniera diversa e maggiormente sicura rispetto il UAC di Windows.

Sono d'accordo con te per quanto concerne la questione bug e relativa velocità di correzione, ma ricordo che la falla in questione sfrutta un bug del kernel e non di una delle interfacce del sistema operativo per gestire l'elevazione di privilegi (UAC, Sudo ecc...).

Se nel kernel Linux venisse scoperto un bug della stesso tipo, i risultati, indipendentemente dal sistema di autenticazione utilizzato (grafico come UAC o testuale come Sudo), sarebbero gli stessi.

Come ultima cosa, volevo chiederti perché critichi la scissione dei privilegi su Windows? non riesco a capire dov'è che questa sarebbe inferiore a quella di Linux (parlo di scissione dei privilegi e non di tecnologie collaterali, quali UAC o MIC e ovviamente a meno di bug tipo questo, che possono essere presenti in tutti gli OS). [;)]

[ciao]
PC: ASUS X53S (Intel Core i7-2670QM 2.20 Ghz, RAM 8 GB, NVIDIA GeForce GT520MX, Windows 8 Pro)
Mobile: Nokia Lumia 710 (CPU 1,4 Ghz, RAM 512 MB, Windows Phone 7.8)
--
developerwinme.wordpress.com
Avatar utente
developerwinme
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5014
Iscritto il: mar dic 30, 2008 7:00 pm
Località: Como

Precedente

Torna a Commenti

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising