Transazioni PayPal a rischio per vulnerabilità in Windows

Un hacker ha reso pubblico un certificato Ssl che permette di leggere in chiaro le transazioni PayPal. Problemi anche per Chrome e Safari.

[ZEUS News - www.zeusnews.it - 08-10-2009]

Alcuni giorni fa è stato reso pubblico un certificato Ssl che permette un attacco di tipo man-in-the-middle alle connessioni criptate a PayPal effettuate tramite i browser Internet Explorer, Chrome e Safari su piattaforma Windows. La vulnerabilità era nota da tempo ma sinora non era stata sfruttata almeno pubblicamente; non per PayPal.

In un attacco man-in-the-middle (uomo nel mezzo) l'attaccante assume due identità e si interpone tra l'utente e il server: il primo crede di connettersi al server reale, mentre si sta connettendo con l'attaccante. Al server succede la stessa cosa: scambia l'attaccante per il client.

Stando nel mezzo grazie alla vulnerabilità suddetta, un attaccante può far credere al browser dell'utente di essere PayPal, grazie al certificato e rimbalzando le connessioni verso PayPal. PayPal cifrerà le risposte per il nostro attaccante che a sua volta, dopo averle lette, le ricifrerà per la vittima - che così non si accorgerà di nulla.

Questa vulnerabilità è dovuta a un vecchio mix di tecnologie che Microsoft continua ad usare: le API NT utilizzano stringhe Unicode nativamente, mentre le API Win32 usano le vecchie stringhe C (delimitate da un null). Le stringhe Unicode delle API NT "conoscono" la loro dimensione; le stringhe C no, vanno lette sino a quando non si trova un carattere null (\0).

La mescolanza di queste due tecnologie ha permesso vari tipi di exploit, il cui fulcro è l'iniezione di codice basandosi sul fatto che si possono creare situazioni in cui una data funzione non sa quando fermarsi.

Al momento non ci sono patch, tuttavia Firefox non risente di questa vulnerabilità poiché utilizza una propria API crittografica.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Kim Allamandola

Commenti all'articolo (ultimi 5 di 28)

{paolo del bene}

certo sono un eroe :-) Leggi tutto
19-10-2009 12:47

{paolo del bene}

sono un eroe, ho salvato la mia banca Leggi tutto
16-10-2009 21:19

ArMyZ

Dico vittima solo perchè, a quanto ne so, è stata usata come Proof of Concept. A parità di condizioni avrebbero potuto scegliere qualsiasi web che offriva servizi in https. Sul MITM possiamo aprire un'altra discussione: vero che non è facilmente realizzabile, dns poisoning, arp poisining in lan, bla bla. In questo caso si sta parlando... Leggi tutto
10-10-2009 13:55

freemind

Sì, però la possibilità è remota. Un MITM puro, senza installare trojan sulle macchine bersaglio non arriva buon anche solo se non sei sullo stesso troncone di rete di una delle due macchine (a meno di inquinare i dns usati da uno dei due). Chiaramente oggi le macchine win in rete sono un connubio di male quindi un trojan c'è quasi... Leggi tutto
10-10-2009 01:46

cisco

Sono d'accordo. Le probabilità che la violazione vada a segno è molto bassa, ma pur sempre presente. Leggi tutto
9-10-2009 19:51

Leggi gli altri 23 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(11 commenti) Un vecchio Atari 2600 sconfigge la IA: Gemini rinuncia alla sfida a scacchi	News(11 commenti) Svelate le specifiche dell'iPhone pieghevole: chip A20, fotocamera da 48 MP e prezzo davvero premium

Sicurezza(9 commenti)

Attenzione al falso SMS dell'ASL: è una truffa che ruba dati e denaro

News(14 commenti)

Compensi per copia privata, la SIAE alza le tariffe. E vuole tassare anche il cloud

News(7 commenti)

Intel, i processori Raptor Lake svengono per il caldo. Colpiti soprattutto i Core i7

News(2 commenti)

Windows 11 introduce Quick Machine Recovery: ripristino automatico per PC in crisi

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

Qual è il browser mobile che più ti soddisfa?