Tweet
credo che la notizia vi possa interessare :
Isolate Varie Falle XSS in YouTube
I ricercatori di Google hanno finalmente risposto ad un esperto di sicurezza "white hat hacker" che tentava da qualche mese di portare all'attenzione del colosso della ricerca la scoperta di più di 40 vulnerabilità nel popolare servizio di video-sharing YouTube .Il team di sviluppatori di Google/YouTube ha a quanto pare "reagito" ad una sorta di ultimatum pubblicato da Christian Matthies su Sla.ckers.org, in cui il ricercatore chiedeva una risposta entro due settimane da parte dell'azienda, prima di procedere alla "full-disclosure" delle vulnerabilità.
L'ultimatum è stato pubblicato il 16 Giugno scorso e Google ha contattato finalmente il ricercatore nella giornata di ieri. Matthies aveva scritto la scorsa settimana: "Avere buchi di sicurezza è una cosa ma non rispondere alle segnalazioni riguardanti vulnerabilità è totalmente inaccettabile e certamente non conforme al vostro [Google/YouTube] impegno sulla sicurezza dei dati … Considerato questo, farò quest'ultimo tentativo e vi concedo due settimane da ora per contattarmi. Se non lo farete, sarà costretto a rendere pubbliche tutte le vulnerabilità scoperte".
La maggior parte delle vulnerabilità isolate da Matthies sono relative a problemi di cross site scripting (XSS), una tecnica che permette ad eventuali attacker di iniettare codice non autorizzato facendolo sembrare ospitato dal sito web preso di mira. A quanto pare, molte delle falle potevano consentire di infettare il profilo di un utente sul servizio, eventualmente creando un codice stile worm per rubare le credenziali di accesso. Le falle XSS sono tuttavia molto comuni in siti e applicazioni web che sfruttano le nuove tecniche di programmazione Web 2.0.
Bisogna evidenziare che, in un intervento successivo in cui informava la community di essere in contatto con Google, Matthies ha affermato che durante la preparazione dei codici PoC da inviare al colosso ha notato che molte delle vulnerabilità in questione sono state già risolte. Attualmente il ricercatore ha inviato un report relativo a circa 10 vulnerabilità ancora presenti nel codice di YouTube. Secondo Matthies, gli sviluppatori di Google hanno provveduto alla correzione di molti problemi durante le ultime 48 ore. Il ricercatore ha anche annunciato che pubblicherà un intervento sul suo blog ,per chiarire la vicenda nei prossimi giorni.
I problemi di XSS non sono gli unici rischi a cui vanno attualmente incontro gli utenti su YouTube. L'azienda di sicurezza Secure Computing aveva infatti isolato giorni fa un file infetto contenente il codice Trojan Zlob, caricato sul popolare sito di video-sharing. Se selezionato, questo file inizia a bombardare gli utenti infettati di annunci pubblicitari. Il trojan può essere usato anche per caricare ulteriori codici nocivi sul computer vittima.
Il problema, aveva affermato Paul Henry di Secure Computing, risiede nella mancanza di un adeguato sistema di content filtering su YouTube. "Nessuno si aspetta di trovare un malware nei file di YouTube", ha affermato Henry. "Tuttavia la popolarità di questo mezzo sta attirando enormemente come un veicolo di distribuzione di massa di codice nocivo. La cosa allarmante è che, dal punto di vista della sicurezza, molti utenti e aziende saranno colti di sorpresa e potenzialmente esposti in maniera grave". Secondo l'esperto di sicurezza infatti la maggior parte dei più importanti firewall sono configurati solo per proteggere i web server interni e non sono capaci di bloccare il codice web restituito da server esterni. Proprio questo aspetto sta venendo utilizzato sempre più dagli autori di codice malware per condurre i loro attacchi.
Si può creare il malware più pericoloso del mondo, ma se il file rimane ancorato a pochi computer, e non trova una via per diffondersi fra gli utenti, rimarrà sempre e solo uno sfoggio di bravura tecnica. Ma quando a un malware insidioso si aggiunge un canale per la diffusione enorme come YouTube, il pericolo diventa potenzialmente disastroso.
Per questo è necessario portare particolare attenzione !!!
Isolate Varie Falle XSS in YouTube
I ricercatori di Google hanno finalmente risposto ad un esperto di sicurezza "white hat hacker" che tentava da qualche mese di portare all'attenzione del colosso della ricerca la scoperta di più di 40 vulnerabilità nel popolare servizio di video-sharing YouTube .Il team di sviluppatori di Google/YouTube ha a quanto pare "reagito" ad una sorta di ultimatum pubblicato da Christian Matthies su Sla.ckers.org, in cui il ricercatore chiedeva una risposta entro due settimane da parte dell'azienda, prima di procedere alla "full-disclosure" delle vulnerabilità.
L'ultimatum è stato pubblicato il 16 Giugno scorso e Google ha contattato finalmente il ricercatore nella giornata di ieri. Matthies aveva scritto la scorsa settimana: "Avere buchi di sicurezza è una cosa ma non rispondere alle segnalazioni riguardanti vulnerabilità è totalmente inaccettabile e certamente non conforme al vostro [Google/YouTube] impegno sulla sicurezza dei dati … Considerato questo, farò quest'ultimo tentativo e vi concedo due settimane da ora per contattarmi. Se non lo farete, sarà costretto a rendere pubbliche tutte le vulnerabilità scoperte".
La maggior parte delle vulnerabilità isolate da Matthies sono relative a problemi di cross site scripting (XSS), una tecnica che permette ad eventuali attacker di iniettare codice non autorizzato facendolo sembrare ospitato dal sito web preso di mira. A quanto pare, molte delle falle potevano consentire di infettare il profilo di un utente sul servizio, eventualmente creando un codice stile worm per rubare le credenziali di accesso. Le falle XSS sono tuttavia molto comuni in siti e applicazioni web che sfruttano le nuove tecniche di programmazione Web 2.0.
Bisogna evidenziare che, in un intervento successivo in cui informava la community di essere in contatto con Google, Matthies ha affermato che durante la preparazione dei codici PoC da inviare al colosso ha notato che molte delle vulnerabilità in questione sono state già risolte. Attualmente il ricercatore ha inviato un report relativo a circa 10 vulnerabilità ancora presenti nel codice di YouTube. Secondo Matthies, gli sviluppatori di Google hanno provveduto alla correzione di molti problemi durante le ultime 48 ore. Il ricercatore ha anche annunciato che pubblicherà un intervento sul suo blog ,per chiarire la vicenda nei prossimi giorni.
I problemi di XSS non sono gli unici rischi a cui vanno attualmente incontro gli utenti su YouTube. L'azienda di sicurezza Secure Computing aveva infatti isolato giorni fa un file infetto contenente il codice Trojan Zlob, caricato sul popolare sito di video-sharing. Se selezionato, questo file inizia a bombardare gli utenti infettati di annunci pubblicitari. Il trojan può essere usato anche per caricare ulteriori codici nocivi sul computer vittima.
Il problema, aveva affermato Paul Henry di Secure Computing, risiede nella mancanza di un adeguato sistema di content filtering su YouTube. "Nessuno si aspetta di trovare un malware nei file di YouTube", ha affermato Henry. "Tuttavia la popolarità di questo mezzo sta attirando enormemente come un veicolo di distribuzione di massa di codice nocivo. La cosa allarmante è che, dal punto di vista della sicurezza, molti utenti e aziende saranno colti di sorpresa e potenzialmente esposti in maniera grave". Secondo l'esperto di sicurezza infatti la maggior parte dei più importanti firewall sono configurati solo per proteggere i web server interni e non sono capaci di bloccare il codice web restituito da server esterni. Proprio questo aspetto sta venendo utilizzato sempre più dagli autori di codice malware per condurre i loro attacchi.
Si può creare il malware più pericoloso del mondo, ma se il file rimane ancorato a pochi computer, e non trova una via per diffondersi fra gli utenti, rimarrà sempre e solo uno sfoggio di bravura tecnica. Ma quando a un malware insidioso si aggiunge un canale per la diffusione enorme come YouTube, il pericolo diventa potenzialmente disastroso.
Per questo è necessario portare particolare attenzione !!!
Comment