Firefox: Nuove Falle, ed Imbarazzo

Pubblicato il luglio 25, 2007. Archiviato in: News |

Mozilla sta vivendo un momento “nero” per quanto riguarda le problematiche di sicurezza del suo popolare browser open-source Firefox. Gli esperti di sicurezza hanno infatti segnalato l’esistenza di una nuova vulnerabilità nel codice del prodotto che espone username e password degli utenti e che affligge anche la più recente versione Firefox 2.0.0.5. Nel frattempo Mozilla deve affrontare i nuovi sviluppi della discussione sulla vulnerabilità “firefoxurl://” che permetteva ad un attacker di utilizzare Microsoft Internet Explorer per lanciare Firefox ed eseguire contestualmente codice arbitrario potenzialmente nocivo. Sembra infatti che lo stesso Firefox, se usato come “entry point”, presenti il medesimo bug di validazione di cui era stato “accusato” il browser di Microsoft. Questo significa che utilizzando Firefox è possibile sfruttare un URL modificata ad arte per inviare arbitrari ad un’altra applicazione, tramite un gestore URL.

Prima di tutto, l’azienda di sicurezza Heise Security ha segnalato un nuova falla di sicurezza in Firefox che permette ad un eventuale attacker di rubare le credenziali (nome utente e password) degli utenti del browser salvate dal software tramite funzione dedicata (se si visita un pagina di login e si esegue l’accesso, il browser chiede di salvare le password, ai successivi tentativi di login la password viene inserita automaticamente). Secondo Heise Security, una pagina programmata in maniera nociva ospitata sullo stesso server di una pagina di login è in grado di rubare le credenziali salvate. L’azienda di sicurezza ha reso disponibile anche un demo che mostra il funzionamento di questo tipo di attacco. Nell’esempio la pagina nociva mostra username e password salvate precedentemente nel test, ma i ricercatori di sicurezza evidenziano che questi dati potevano essere inviati ovunque e l’output stesso dalla pagina nociva poteva venire nascosto per celare l’avvenuto attacco.

L’exploit di questa problematica sfrutta JavaScript, quindi con Javascript disattivato (utilizzando per esempio l’add-on NoScript) non è possibile eseguire l’attacco. Mozilla aveva corretto un simile problema di sicurezza lo scorso Novembre (che non richiedeva lo scripting) e, come riportato da Heise Security in una articolo dedicato, sembra gli sviluppatori abbiano discusso a lungo la problematica su Bugzilla. La difficoltà nella risoluzione di questa falla risiede infatti nel modello di sicurezza stesso di JavaScript che si basa sulla cosiddetta “same origin policy“. In sostanza, se un attacker è in grado di caricare codice nocivo su un server è in grado di manipolare anche tutte le pagine che sono ospitate su di esso. Secondo Heise Security anche Apple Safari presenta la medesima vulnerabilità di sicurezza.

Per quanto riguarda il problema della vulnerabilità nella gestione dei protocolli URL, su Mozilla Security Blog, Window Snyder, a capo della security strategy presso Mozilla Corporation, ha reso noto che l’azienda sta ora investigando su nuovi report che segnalano la presenza della vulnerabilità, inizialmente attribuita a Internet Explorer, anche in Firefox. Si tratta di uno scenario che gli sviluppatori avrebbero dovuto prendere in considerazione nell’ambito del lavoro sulla patch introdotta in Firefox 2.0.0.5, che praticamente si occupa esclusivamente di correggere il problema con l’utilizzo di IE come “entry point”. La segnalazione del problema è stata fatta da Jesper Johansson, esperto di sicurezza, sul suo blog.

Johansson ha creato un test apposito per Firefox, registrando un nuovo gestore URL di prova, ed ha verificato che anche il browser di Mozilla, nonostante le numerose discussioni sulla responsabilità di questa problematica, non esegue una validazione degli argomenti passati al gestore di protocollo (e non esegue neanche l’escape delle virgolette presenti nel URL). La questione continua a suscitare discussioni e polemiche, e infatti, come evidenziato da Spyware Sucks, nel suo blog-post Snyder non cita l’articolo di Johansson e sembra aver rimosso anche i link diretti al blog del ricercatore nei commenti su Mozilla Security Blog. Ad ogni modo sembra che Mozilla abbia già realizzato un fix per la problematica che quindi sarà incluso nel prossimo aggiornamento del browser.

Fonte.

About these ads

Make a Comment

Rispondi

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Una Risposta to “Firefox: Nuove Falle, ed Imbarazzo”

RSS Feed for Simply Security Comments RSS Feed

Ciao, ho notato che impostando una master password nelle opzioni di Firefox non avviene nessu exploit


Where's The Comment Form?

Liked it here?
Why not try sites on the blogroll...

Iscriviti

Ricevi al tuo indirizzo email tutti i nuovi post del sito.

%d blogger cliccano Mi Piace per questo: