A paper has just been released on the Windows Vista's gadget API. The abstract is as follows:
Windows has had the ability to embed HTML into itâ??s user interface for many years. Right back to and including Windows NT 4.0, it has been possible to embed HTML into the task bar, but the OS has always maintained a sandbox, from which the HTML has been unable to escape. All this changes with Windows Vista. This paper seeks to inform system administrators, users and the wider community on both potential attack vectors using gadgets and the mitigations provided by Windows Vista.
The full paper can be found at http://www.portcullis-security.com/165.php.
Cheers, Tim
--
Tim Brown [From SecurityFocus]
Non c'avevo mai pensato in effetti gran bella pensata e bel white paper... clicco sul post vengo redirezionato sul forum di SecurityFocus ...
Yes, this is a "new" attack vector, but it is always game over anyway if I can get you to run my untrusted program. In my testing, installing any Vista sidebar gadget results in a minimum of 3 warnings, each saying that the code being installed could be harmful, before it is installed. 5 warnings if the gadget is unsigned. It's something to be aware of, because malicious hackers will exploit them, and many end-users will ignore any warning, but not the most worrisome problem on my plate. Secondly, I can completely control the install of any gadgets in my environment using Active Directory group policies to a granular level.
Roger
*******************************************************************
*Roger A. Grimes, Senior Security Consultant
*Microsoft Application Consulting and Engineering (ACE) Services
*http://blogs.msdn.com/ace_team/default.aspx
*CPA, CISSP, CISA MCSE: Security (2000/2003), CEH, yada...yada...
*email: roger (at) banneretcs (dot) com [email concealed] or rogrim (at) microsoft (dot) com [email concealed]
*Author of Windows Vista Security: Security Vista Against Malicious Attacks (Wiley)
*http://www.amazon.com/Windows-Vista-Security-Securing-Malicious/dp/0470 101555
******************************************************************
[From SecurityFocus]
Al di là del fatto che il commento è stato bellamente ignorato, vorrei commentare alcuni punti essenziali della risposta data:
- La sicurezza di un sistema operativo non si misura dal numero di warning che ti vengono propinati prima di fare una qualsiasi azione
- La sicurezza delle procedure che sono in esecuzione sulla macchina non può essere SEMPRE demandata all'utente anzi UTONTO (vedi punto sopra)
- La sicurezza di un sistema deve essere intrinseca al sistema stesso, e non parlo certo dei concetti di Security Through Obscurity che a Redmond oramai sono vessillo aziendale
In definitiva l'UAC di Vista è poco più che un pagliativo alla sicurezza del sistema (lo dico io e lo dice Kaspersky)
Perchè poi sapete come viene girata a sfavore dell'utente la situazione?
Frasi del tipo, "Se hai ignorato i 5 warning prima di installare quel software/gadget/yadayada la colpa non è mia ...", sono all'ordine del giorno ... Mah!!!
Un ultima cosa Roger...
Please mr. yadayada cert, Repeat after me:
"The CISSP is not a technical certificate, it's a management certificate"
"CEH is a dirty draft of OPST OSSTMM certificate"
and so on ...
0 Comment:
Posta un commento