Transazioni PayPal a rischio per vulnerabilità in Windows

Un hacker ha reso pubblico un certificato Ssl che permette di leggere in chiaro le transazioni PayPal. Problemi anche per Chrome e Safari.



[ZEUS News - www.zeusnews.it - 08-10-2009]

paypal

Alcuni giorni fa è stato reso pubblico un certificato Ssl che permette un attacco di tipo man-in-the-middle alle connessioni criptate a PayPal effettuate tramite i browser Internet Explorer, Chrome e Safari su piattaforma Windows. La vulnerabilità era nota da tempo ma sinora non era stata sfruttata almeno pubblicamente; non per PayPal.

In un attacco man-in-the-middle (uomo nel mezzo) l'attaccante assume due identità e si interpone tra l'utente e il server: il primo crede di connettersi al server reale, mentre si sta connettendo con l'attaccante. Al server succede la stessa cosa: scambia l'attaccante per il client.

Stando nel mezzo grazie alla vulnerabilità suddetta, un attaccante può far credere al browser dell'utente di essere PayPal, grazie al certificato e rimbalzando le connessioni verso PayPal. PayPal cifrerà le risposte per il nostro attaccante che a sua volta, dopo averle lette, le ricifrerà per la vittima - che così non si accorgerà di nulla.

Questa vulnerabilità è dovuta a un vecchio mix di tecnologie che Microsoft continua ad usare: le API NT utilizzano stringhe Unicode nativamente, mentre le API Win32 usano le vecchie stringhe C (delimitate da un null). Le stringhe Unicode delle API NT "conoscono" la loro dimensione; le stringhe C no, vanno lette sino a quando non si trova un carattere null (\0).

La mescolanza di queste due tecnologie ha permesso vari tipi di exploit, il cui fulcro è l'iniezione di codice basandosi sul fatto che si possono creare situazioni in cui una data funzione non sa quando fermarsi.

Al momento non ci sono patch, tuttavia Firefox non risente di questa vulnerabilità poiché utilizza una propria API crittografica.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 28)

{paolo del bene}
certo sono un eroe :-) Leggi tutto
19-10-2009 12:47

{paolo del bene}
sono un eroe, ho salvato la mia banca Leggi tutto
16-10-2009 21:19

Dico vittima solo perchè, a quanto ne so, è stata usata come Proof of Concept. A parità di condizioni avrebbero potuto scegliere qualsiasi web che offriva servizi in https. Sul MITM possiamo aprire un'altra discussione: vero che non è facilmente realizzabile, dns poisoning, arp poisining in lan, bla bla. In questo caso si sta parlando... Leggi tutto
10-10-2009 13:55

Sì, però la possibilità è remota. Un MITM puro, senza installare trojan sulle macchine bersaglio non arriva buon anche solo se non sei sullo stesso troncone di rete di una delle due macchine (a meno di inquinare i dns usati da uno dei due). Chiaramente oggi le macchine win in rete sono un connubio di male quindi un trojan c'è quasi... Leggi tutto
10-10-2009 01:46

Sono d'accordo. Le probabilità che la violazione vada a segno è molto bassa, ma pur sempre presente. Leggi tutto
9-10-2009 19:51

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quanto spendi di elettricità ogni mese?
Meno di 30 euro
Tra 30 e 50 euro
Tra 50 e 75 euro
Tra 75 e 100 euro
Tra 100 e 150 euro
Più di 150 euro

Mostra i risultati (2783 voti)
Dicembre 2021
Perché Intel accumula hardware obsoleto in Costa Rica?
Antitrust, 30 aziende contro Microsoft per colpa di OneDrive
Novembre 2021
L'app va in crash, e la Tesla non parte più
La Rete telefonica italiana agli americani di KKR
Se il furgone di Amazon ti tampona... la colpa è di Amazon!
Il Blue Screen of Death... ritorna blu
MediaWorld sotto attacco ransomware: hacker vogliono 200 milioni in bitcoin
SPID con le Poste, il riconoscimento adesso si paga
Facebook rinuncia ufficialmente al riconoscimento facciale
Ottobre 2021
Il Nobel ad Assange
Windows 11, finalmente si possono eseguire anche le app Android
FreeOffice 2021, la suite gratuita compatibile con Microsoft Office
Apple presenta i MacBook Pro con il notch
UE, addio all'anonimato per i domini Internet
Windows 11 è disponibile. Ecco come installarlo anche senza TPM
Tutti gli Arretrati
Accadde oggi - 6 dicembre


web metrics