HTML Outlook Uninitialized Memory Information Disclosure Vulnerability

0-Day Outlook

Questa vulnerabilità consente agli aggressori remoti di rivelare informazioni sensibili sulle installazioni interessate di Microsoft Outlook. Per sfruttare questa vulnerabilità è necessaria l’interazione dell’utente, in quanto l’obiettivo deve aprire un’e-mail.

La lacuna specifica esiste nell’ambito del trattamento dell’HTML. Il problema deriva dalla mancanza di una corretta inizializzazione della memoria prima di accedervi. Un aggressore può sfruttare questa lacuna insieme ad altre vulnerabilità per eseguire il codice nel contesto del processo in corso.

Questa vulnerabilità viene rivelata pubblicamente senza una patch in conformità con le politiche ZDI.

Si, oggi parliamo di ZDI. Molti non conoscono “aziende” come questa che collaborano in maniera interattiva con “Hacker” e sviluppatori di servizi di sicurezza. In questo caso la ZDI è in sinergia con Trend Micro. 

Hanno a disposizione una rete capillare di “ricercatori” che dietro un guadagno economico, comunicano le criticità software che portano alla emanazione di un 0-Day.

Vediamo come lavorano.

microsoft-outlook 0-day
0-Day Outlook



ZDI policies

Questa politica descrive il modo in cui la Zero Day Initiative (ZDI) gestisce la divulgazione responsabile delle vulnerabilità ai fornitori di prodotti, ai clienti Trend Micro, ai fornitori di sicurezza e al pubblico in generale. ZDI notificherà in modo responsabile e tempestivo al fornitore del prodotto appropriato un difetto di sicurezza con i suoi prodotti o servizi. Il primo tentativo di contatto avverrà attraverso qualsiasi contatto appropriato o meccanismo formale elencato sul sito web del fornitore, o inviando un’e-mail a security@, support@, info@ e secure@company.com con le informazioni pertinenti sulla vulnerabilità. Contemporaneamente alla notifica del fornitore, i filtri di protezione possono essere distribuiti ai clienti Trend Micro attraverso canali approvati.

Se un fornitore non riconosce la notifica iniziale di ZDI entro cinque giorni lavorativi, ZDI tenterà un secondo contatto formale tramite una telefonata diretta a un rappresentante di quel fornitore. Se un fornitore non risponde dopo altri cinque giorni lavorativi successivi alla seconda notifica, ZDI può fare affidamento su un intermediario per tentare di stabilire un contatto con il fornitore. Se ZDI esaurisce tutti i mezzi ragionevoli per contattare un fornitore, allora ZDI può emettere un avviso pubblico rivelando i suoi risultati quindici giorni lavorativi dopo il contatto iniziale.

E se non risponde ?

Se la risposta di un fornitore viene ricevuta entro i tempi sopra descritti, ZDI concederà al fornitore 4 mesi (120 giorni) per affrontare la vulnerabilità con una patch di sicurezza o altre misure correttive, a seconda dei casi. Alla scadenza del termine, se un fornitore non risponde o non è in grado di fornire una dichiarazione ragionevole sul motivo per cui la vulnerabilità non è stata risolta, ZDI pubblicherà una consulenza limitata, inclusa la mitigazione, nel tentativo di consentire alla comunità difensiva di proteggere l’utente. Riteniamo che, intraprendendo queste azioni, il fornitore comprenderà la responsabilità che ha nei confronti dei propri clienti e reagirà in modo appropriato. Non saranno concesse estensioni della scadenza di 120 giorni per la divulgazione.

Se un fornitore di prodotti non è in grado o sceglie di non farlo, ZDI si offrirà di collaborare con quel fornitore per divulgare pubblicamente il difetto con alcune efficaci soluzioni. In nessun caso una vulnerabilità acquisita verrà “tenuta nascosta” perché un fornitore di prodotti non desidera affrontarla.

Per mantenere la trasparenza nel nostro processo, prevediamo di pubblicare una sintesi della comunicazione che abbiamo avuto con il fornitore in merito alla questione. Ci auguriamo che questo livello di comprensione del nostro processo consenta alla comunità di comprendere meglio alcune delle difficoltà che i fornitori hanno quando risolvono i bug ad alto impatto. ZDI farà ogni sforzo per lavorare con i fornitori per garantire che comprendano i dettagli tecnici e la gravità di un difetto di sicurezza segnalato.

ZDI pubblicherà formalmente e pubblicamente i suoi avvisi di sicurezza sul nostro sito Web. Solo gli avvisi elencati sul sito Web devono essere considerati ufficiali ZDI. (fonte ZDI)

LA MISSIONE ZDI

L’iniziativa “Zero Day Initiative” (ZDI) è stata creata per incoraggiare la segnalazione di vulnerabilità del tipo 0-day. La comunicazione avviene in forma riservata ai fornitori interessati da parte di soggetti finanziariamente gratificanti. C’era la percezione da parte di alcuni nel settore della sicurezza informatica che coloro che trovano le vulnerabilità sono hacker malintenzionati che cercano di fare del male. Alcuni la pensano ancora così. Pur essendo abili e malintenzionati, gli hacker malintenzionati rimangono una piccola minoranza del numero totale di persone che scoprono effettivamente nuovi difetti nel software. (fonte ZDI)

Per mantenere la segretezza della scoperta della vulnerabilità di un ricercatore fino a quando un fornitore di prodotti non è in grado di sviluppare una patch.  Ai clienti Trend Micro viene fornita solo una descrizione generica, non la vulnerabilità stessa.

Una volta resi pubblici i dettagli in coordinamento con il fornitore del prodotto, viene resa pubblica una descrizione aggiornata in modo che i nostri clienti possano identificare i correttivi appropriati che li possano proteggere. In altre parole, mentre i nostri clienti saranno protetti dalla vulnerabilità in anticipo, non saranno in grado di discernere la vulnerabilità stessa. (fonte ZDI)

 

key: 0-Day Outlook , ZDI , Microsoft Outlook zero day