httpOnly cookie

Durante uma auditoria recente, foi detectada uma falha de XSS (Cross Site Scripting) numa aplicação que utiliza cookies com a flag “httpOnly”.
Esta flag, embora actualmente seja suportada pela maioria dos browsers, foi introduzida pela Microsoft com o objectivo de mitigar o XSS não permitindo que o conteúdo do cookie seja acedido por código client side. Ou seja, não é possível por exemplo, utilizar o elemento do DOM document.cookie para obter o valor do cookie.
A utilização desta flag, embora não elimine a falha de XSS, elimina na maioria dos casos a possibilidade de roubo de sessão. Note-se que o roubo de sessão é apenas um dos possíveis métodos de exploração de uma falha de XSS. Continuando a ser possível, por exemplo, controlar as operações realizadas pelos utilizadores da aplicação, ou criar um formulário na aplicação que rouba as credenciais de utilizador.
No entanto a utilização da flag httpOnly é um mecanismo de segurança que diminui consideravelmente o impacto da existência de falhas de XSS e que tem como único inconveniente tornar o cookie inacessível ao código client side, o que não é necessário na maioria das aplicações.
Esta flag, embora exista desde 2002, é utilizada raramente, mesmo quando é possível adicionar a flag aos cookies através de uma simples alteração num ficheiro de configuração…

No caso de aplicações .net basta alterar/adicionar o elemento httpCookies no ficheiro web.config:

<httpCookies httpOnlyCookies=”true”>

PHP>=5.2 adicionar/alterar no ficheiro php.ini:

session.cookie_httponly “1”

Internet Explorer 0 day

Foi publicada por engano uma vulnerabilidade do Internet Explorer 7. A equipa de investigadores afirma que a publicou por engano por pensar que esta era corrigida pela última leva de patches fornecida pela Microsoft. No entanto, segundo a própria Microsoft, a falha não foi corrigida e afecta todas as versões do Internet Explorer (incluindo a 8), embora só esteja a ser utilizada activamente para explorar a versão 7.
Para que um utilizador seja afectado, basta que visite uma página especialmente preparada para o efeito. Página essa, que pode existir num site da confiança do utilizador, uma vez que, falhas de SQL Injection podem e são muitas vezes exploradas de forma a utilizar sites legítimos como plataformas de instalação de software malicioso.

Soluções…

Evitar pelo menos temporariamente utilizar o Internet Explorer.

Ou segundo a Microsoft:

Configurar a Internet security zone para High e desabilitar a OLEDB32.DLL

Update:

A Microsoft lançou um patch out of band para esta vulnerabilidade.

http://www.microsoft.com/technet/security/bulletin/ms08-078.mspx