Firefox 2 bucabile via IE

Alcuni esperti di sicurezza hanno scoperto nel panda rosso una vulnerabilità che può essere innescata visitando una pagina web maligna con Internet Explorer

Roma - In Firefox 2 si cela una vulnerabilità che, diversamente da quanto accaduto in passato, può essere innescata con la compicità di Internet Explorer. Si tratta di "un errore di design", come lo definisce FrSIRT, relativo alla gestione degli URI (Uniform Resource Identifier) di tipo FirefoxURL://.

Gli URI FirefoxURL vengono registrati da Firefox al momento dell'installazione in Windows, e possono essere sfruttati da un sito web maligno per eseguire comandi o codice a libera scelta. Ciò è possibile perché Firefox non controlla la validità dei parametri che gli vengono passati attraverso l'URI FirefoxURL.

"Utilizzando l'URI incriminata è possibile utilizzare Internet Explorer (o qualsiasi altro browser Windows based) per lanciare Firefox ed eseguire immediatamente del codice JavaScript", spiega questo advisory, dove vengono riportati anche diversi test di vulnerabilità. "È altresì possibile creare un profilo utente, caricare impostazioni di Firefox a propria scelta, e installare estensioni globali, il tutto senza il consenso dell'utente".
FrSIRT afferma di non essere a conoscenza di alcuna patch ufficiale, e propone agli utenti un workaround che contempla la cancellazione dal registro di Windows della chiave HKEY_CLASSES_ROOT\FirefoxURL.

Sia FrSIRT che Secunia hanno valutato la falla della massima gravità e, in attesa della patch, invitano gli utenti a visitare solo i siti fidati.
85 Commenti alla Notizia Firefox 2 bucabile via IE
Ordina
  • Premetto che sono un semplice utente, un po' smanettone ma non un espertissimo. Quindi non attaccatemi di brutto se scrivo qualche stupidaggine ma spiegatemi meglio.

    Ho seguito il link presente nell'articolo:
    http://www.xs-sniper.com/sniperscope/IE-Pwns-Firef...

    Erano presenti dei link contraffatti per dimostrare l'usabilità del bug.
    Ho provato i link su di un pc di test e gli exploit funzionano.

    Inoltre c'era un link a
    http://larholm.com/2007/07/10/internet-explorer-0d.../
    che spiega meglio come avviene l'iniezione di comandi javascript.
    Traduco in italiano alcune parti:

    ### INIZIO ###
    C'è una mancanza di controllo degli input in IE che vi permette di specificare argomenti arbitrari ai processi responsabili di gestire i protocolli delle URL...

    Quando si installa FF egli registra un gestore dei protocolli degli URL chiamato “FirefoxURL”...

    [HKEY_CLASSES_ROOT\FirefoxURL\shell\open\command\@]
    C:\\PROGRA~1\\MOZILL~2\\FIREFOX.EXE -url "%1" -requestPending

    Quando IE incontra un riferimento a contenuti interni allo schema delle URL "FirefoxURL", chiama ShellExecute con il percorso dell'immagine EXE e gli passa l'intera URI richiesta senza alcun controllo degli input. Una richiesta come la seguente:

    FirefoxURL://foo” –argument “my value
    (notate le " n.d.t)

    farà sì che la seguente riga di comando sarà usata per lanciare FF:

    “C:\PROGRA~1\MOZILL~2\FIREFOX.EXE” -url “firefoxurl://foo” –argument “my value/” –requestPending

    Come si vede è possibile specificare argomenti arbitrari al processo “firefox.exe”. Qui torna utile l'argomento "-chrome" che ci permette di specificare codice javascript il cui contenuto è eseguito come contenuto chrome fidato.
    ### FINE ###


    ESEMPIO:
    href='firefoxurl://test" -chrome "javascript: mio codice javascript"'
    dovrebbe tradursi in
    “C:\PROGRA~1\MOZILL~2\FIREFOX.EXE” -url “firefoxurl://test” -chrome “javascript: mio codice javascript” –requestPending




    Le domande che mi pongo e vi rigiro sono:

    1) Anche outlook è soggetto allo stesso tipo di attacco?
    2) Che cos'è il contenuto chrome fidato?
    3) Io sapevo che javascript era limitato nei privilegi e non poteva fare nulla al di fuori che gestire i contenuti delle proprie pagine web. Evidentemente mi sbagliavo!
    4) Come faccio a sapere quali sono i protocolli registrati e come vengono chiamati? Anche altri programmi potrebbero essere eseguiti con parametri arbitrari, tipo irc://, gaim://, telnet:// eccetera, oppure ancora peggio mailto:
    5) Ma a che serve il protocollo firefoxurl:// ??? Sorride


    CONSIDERAZIONE:
    Ho provato la pagina degli exploit sia su IE che su FF. Quando clikkavo con FF mi si apriva una finestra che avvisava che si sarebbe dovuta avviare un'applicazione esterna (FF esterno a se stesso?!? boh!)
    Perché IE non dava lo stesso avviso? Si sono dimenticati che chiedere all'utente cosa fare è una buona pratica di sicurezza?

    Uscirà una patch a questo bug di IE? Oppure non la vedremo mai e microsoft semplicemente sconsiglierà di installare FF?


    Arrivederci
    non+autenticato
  • Basta avere IE installo o deve essere aperto contemporaneamente a Firefox per farlo diventare vulnerabile?
    Se è la seconda che ho detto, allora non sono io l'utonta ma è l'articolo!
    gaia75
    1791
  • - Scritto da: gaia75
    > Basta avere IE installo o deve essere aperto
    > contemporaneamente a Firefox per farlo diventare
    > vulnerabile?
    >
    > Se è la seconda che ho detto, allora non sono io
    > l'utonta ma è
    > l'articolo!

    Occorre avere Internet Explorer aperto e Firefox 2.0.x installato (ma non in esecuzione) al momento in cui si clicca sull'URL malformato.
    non+autenticato
  • Se vuoi provare apri questo link da IE con firefox installato:

    [url]firefoxurl://pirla/[/url]

    vedrai che firefox va in loop... e questo è solo un esempio INNOQUO...
    non+autenticato
  • - Scritto da: Albex
    > Se vuoi provare apri questo link da IE con
    > firefox
    > installato:
    >
    > [url]firefoxurl://pirla/[/url]
    >
    > vedrai che firefox va in loop... e questo è solo
    > un esempio
    > INNOQUO...


    A me Firefox chiede conferma di lanciare un programma esterno. Poi se uno ha l'intelligenza di un bradipo e seleziona l'opzione che previene questo genere di warning... be', colpa sua.
    non+autenticato
  • No, e' la prima. Precisiamo che non so come fai a non avere IE non installato su windows e
    che la falla colpisce solo gli utenti di quest'ultimo sistema.

    Per essere vulnerabile ti basta avere FF installato ma devi navigare su internet con IE!


    Credo che il problema non dovrebbe presentarsi se imposti FF come browser predefinito.

    Ma in tal caso devi astenerti dall'usare IE per navigare su siti di dubbia provenienza, e soprattutto non navigarci mai usando sul tuo sistema un account di amministratore.

    Meglio se segui il consiglio dell'articolo e cancelli il protocollo FirefoxURL://.
    Firefox continua comunque a restare un ottimo browser,
    non credo abbia molte colpe in quest'ultima falla.
    non+autenticato
  • Su vista il problema n0n si pone, l'UAC ti avverte che stai uscendo dalla modalità protetta.
    Poi se uno vuole propio farsi del male...
    non+autenticato
  • - Scritto da: Gianni l'ottimist a
    > Su vista il problema n0n si pone, l'UAC ti
    > avverte che stai uscendo dalla modalità
    > protetta.
    > Poi se uno vuole propio farsi del male...
    tipo l'utonto che clicca su ok imprecando prchè vule vedere sta cavolo di foto della verginella dalla figa stretta?

    sono quelli i bersagli di tali attacchi
    non+autenticato
  • Il bug si verifica solo navigando con IE.
    quindi fintanto che navigate solo con firefox (al max usate ie per windowsupdate se proprio dovete) state in una botte di ferro...

    questo dovrebbe risolvere i dubbi di chi l'ha chiesto

    cmq la 2.0.0.5 è già in preparazione da tempo penso uscirà a breve (sicuramente entro fine luglio)
    non+autenticato
  • Se usi Epiphany, Seamonkey, K-Meleon o altri browser non cambia nulla, il bug è in Firefox.

    Dite che IE fa schifo e nessuno potrà darvi torto con una motivazione razionale. Ma non dite che Firefox è un buon browser. E' il peggior browser open source dopo Camino.

    Gecko va bene, ma tutte le sovrastrutture fatte dal gruppo Mozilla sono terribili. Qualunque browser basato su Gecko è incredibilmente meglio di quelli ufficiali. Questo è inspiegabile e va contro ogni logica. Si direbbe che Mozilla voglia sviluppare il miglior motore di rendering della storia ma che facciano di tutto purchè nessuno se ne accorga. Forse Microsoft li paga perchè i loro browser restino di nicchia.

    SOLUZIONE

    Formattate il vostro computer. Installate Ubuntu o una qualsiasi altra distribuzione basata su Gnome. Firefox è sicuramente installato col sistema, Debian si vergogna a farlo sapere in giro e quindi lo chiama IceWeasel, ma è la stessa cosa.
    DISINSTALLATELO IMMEDIATAMENTE, PRESTO!!!!
    Avete fatto in tempo a disinstallarlo prima che il vostro computer esploda? In caso negativo dovete comprare un altro computer e ricominciare daccapo.
    In caso positivo avviate il gestore pacchetti della vostra distribuzione e installate Epiphany.

    NOTA LEGALE:

    Se utilizzi queste istruzioni io non sono responsabile di quello che può succedere.
    MA SOPRATTUTTO, SE NON LE UTILIZZI IO SONO ANCORA MENO RESPONSABILE. Io ti ho detto qual è la soluzione all'imbecillità di Mozilla e Microsoft, se tu te ne sei fregato non è colpa mia.
    non+autenticato
  • Non si puo imputare la colpa ad IE.
    è ovvio che se io registro un protocollo, per semempio
    se io registro minkiottp:// come protocollo chè legato a un app semplice semplice che fa partire un eseguibile passato da parametro. e io dal mio sito apro un popup che chiama minkiottp://www.miosito.org/incasina_hdd.exe
    explorer che colpa ha ?

    ha riconosciuto un protocollo legato ad un app esterna, e ha CORRETTAMENTE reindirizzato la connessione a quell'app...
    esattamnete come fa telnet:// o ftp:// o ed2k:// ...

    il problema è nel protocollo FirefoxURI che dovrebbe CAPIRE da dove arriva la chiamata... e capire se fare girare tutto ad occhi chiusi o magari pensarci un secondo...
    non+autenticato
  • - Scritto da: Albex
    > Non si puo imputare la colpa ad IE.
    > è ovvio che se io registro un protocollo, per
    > semempio
    > se io registro minkiottp:// come protocollo chè
    > legato a un app semplice semplice che fa partire
    > un eseguibile passato da parametro. e io dal mio
    > sito apro un popup che chiama
    > minkiottp://www.miosito.org/incasina_hdd.exe
    > explorer che colpa ha ?
    >
    > ha riconosciuto un protocollo legato ad un app
    > esterna, e ha CORRETTAMENTE reindirizzato la
    > connessione a
    > quell'app...
    > esattamnete come fa telnet:// o ftp:// o ed2k://
    > ...
    >
    > il problema è nel protocollo FirefoxURI che
    > dovrebbe CAPIRE da dove arriva la chiamata... e
    > capire se fare girare tutto ad occhi chiusi o
    > magari pensarci un
    > secondo...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 20 discussioni)