Una vecchia falla mette Firefox nei guai

Una vulnerabilitÓ scoperta circa nove mesi fa, e legata alla gestione di un protocollo per gli archivi compressi, pu˛ essere sfruttata da un cracker per rubare dati dagli account di Google

Roma - Gli URI tornano ad inguaiare Firefox, seppure questa volta in modo non diretto. La società di sicurezza Secunia ha infatti spiegato in questo advisory che il famoso browser di Mozilla soffre di una vulnerabilità di sicurezza relativa alla gestione del protocollo "jar:".

"Il problema consiste nel fatto che il gestore del protocollo "jar:" non verifica correttamente il tipo MIME dei contenuti di un archivio, che vengono eseguiti nel contesto del sito che ospita l'archivio", spiega Secunia. "La cosa può essere sfruttata per condurre attacchi di tipo cross-site scripting verso siti che consentono agli utenti di uploadare certi file (ad esempio, ".zip", ".png", ".doc", ".odt" e ".txt")".

Il protocollo "jar:" permette ad un browser di estrarre dei contenuti da un file compresso.
Secondo US-CERT, i possibili scenari d'attacco sono più d'uno: tra questi la possibilità che un malintenzionato induca l'utente a cliccare su di un URI (Universal Resource Identifier) maligno che, una vola aperto, esegue del codice dannoso.

Il bug è stato confermato anche nell'ultima versione di Firefox, la 2.0.0.9, ed è noto fin dallo scorso febbraio. Nell'ultimo periodo si sono diffusi alcuni exploit, uno dei quali, secondo quanto spiegato in questo post, può essere utilizzato da malintenzionati per accedere all'account Google di un altro utente.

In attesa di una patch, gli esperti di sicurezza suggeriscono agli utenti di Firefox di non aprire link "jar:" e di utilizzare l'estensione NoScript per difendersi da eventuali script maligni.

Una descrizione approfondita della vulnerabilità è stata fornita dal noto hacker Petko D. Petkov sul proprio blog gnucitizen.org.
120 Commenti alla Notizia Una vecchia falla mette Firefox nei guai
Ordina
  • Che bello!
    Ogni volta che si parla di firefox o linux compaiono i Ms boys!
    E mi faccio tante risate grasse grasse pensando che , alla fin fine, loro devono scrivere le castronerie pur sapendo che Ie è il peggior browser che esiste e che vista andrà al macero!
    Per non finire Ot dico la mia su sto prob...
    Ragà le estensioni non servono solo per rendere il ns firefox diverso da quello degli altri ma anche per migliorarlo!
    Del resto con Ie non esistono soluzioni altrenative x i problemi di sicurezza se non quelli rilasciate, una volta al mese se tutto va bene, da zio Billy!
    Mi ci vedo i vari Ms boys che cercano di usare Ie come firefox e rimangono delusi, molto delusi, quando vedono che a stento possono usare la navigazione a schede....
    non+autenticato
  • Personalmete uso IE e Opera, ma con sandboxie e non ho mai avuto grane virali, adesso c'è anche la versione nuova che è pure più bellina. Sandboxie permette anche di aprire in sicurezza quei programmini, non sempre "sicuri" che generano tanti numerini che poi si copiano ed incollano in altri programmini per...
    non+autenticato
  • Ma il problema è che il cross-side scripting consente il furto di informazioni da un sito all'altro: anche facendo girare FF in sandboxie (bellissimo programma, perlaltro) non risolvi affatto il problema.
    non+autenticato
  • se usate IE7 sotto Windows Vista, tutti i vostri problemi spariscono, dato che IE7 ha la modalità protetta ossia IE7 lavora in una sandbox e quindi potete navigare tranquilli
    non+autenticato
  • lo so compare, che su Vista con IE7 in modalità protetta, si naviga sicurissimi, ma qui parliamo di una falla di Firefox.....Su Vista sarebbe da folli usare Firefox........
  • Primo softaware che ho installato su Vista ? Firefox....
    IE è un orrore.
    non+autenticato
  • - Scritto da: UsateIE7
    > se usate IE7 sotto Windows Vista, tutti i vostri
    > problemi spariscono, dato che IE7 ha la modalità
    > protetta ossia IE7 lavora in una sandbox e quindi
    > potete navigare
    > tranquilli
    vista???
    ma tenetevi l'xp per carità non fate sciocchezze!!
    o meglio ancora passate a linux
    non+autenticato
  • - Scritto da: UsateIE7
    > se usate IE7 sotto Windows Vista, tutti i vostri
    > problemi spariscono, dato che IE7 ha la modalità
    > protetta ossia IE7 lavora in una sandbox e quindi
    > potete navigare
    > tranquilli

    me la paghi tu la licenza?

    visto che il mio pc lo uso come desktop per gestire le foto e le email private non ho voglia di pagarmi un altro pc per avere la licenza oem, nè ho volgia di pagare centinaia di euro per un sistema opeartivo che sul mio p4 geforce 4 mmx non và.

    piuttosto perchè non esiste la modalità protetta per XP?
    non+autenticato
  • - Scritto da: Dioniso
    > piuttosto perchè non esiste la modalità protetta
    > per XP?

    a) comporterebbe la riscrittura di parte delle librerie usate da IE: Mircosoft non vuole farlo perche' ...
    b) ... nel confronto Vista vs XP, e' una caratteristica a favore del primo contendente.

    Personalmente preferisco usare un browser alternativo (si, quello dell'articolo Occhiolino); se devo proprio usare IE, controllo tutte le impostazioni e lo eseguo come utente non privilegiato.
    Se sei paranoico (ma l'uso di IE contraddice questa affermazione Occhiolino), puoi provare ad eseguire il programma in una sandbox sviluppata dal gruppo BFi: http://www.s0ftpj.org/bfi/dev/BFi13-dev-19

    elf

    P.S.: leggere attentamente le istruzioni. Non scherzo.
    non+autenticato
  • - Scritto da: UsateIE7
    > se usate IE7 sotto Windows Vista, tutti i vostri
    > problemi spariscono, dato che IE7 ha la modalità
    > protetta ossia IE7 lavora in una sandbox e quindi
    > potete navigare
    > tranquilli
    Usate semplicemente un sistema operativo che non vi obblighi ad eseguire le applicazioni da superuser, cosa che linux, mac os x e tutti i sistemi operativi unix-like fanno da quando sono nati.
    Windows questa cosa la fa abbastanza decentemente soltanto da quando è uscito Svista.

    In ogni caso questo bug la modalità protetta non centra proprio niente.
    non+autenticato
  • Cari ragazzi il problema non sono i bug dei browser che probabilmente non spariranno mai il problema sta nel monopolio di IE.

    Il pirata incallito che vuole rubare dati o mandare in giro virus worm o monnezza simile la scriverà di sicuro per IE perché sa che il 90% degli utenti usa questo browser quindi ha ottime probabilità di azzeccarci.

    Ora poniamo che il mercato sia diviso fra 5 browser differenti tutti coi loro bei bug. In questo caso il pirata in questione avrà solo una probabilità su 5 di azzeccarci e considerando che i bug sono diversi non potrà neanche sfruttare la stessa falla per ottenere il risultato desiderato. Quindi a parità di pirati un utente avrà molte meno probabilità di cadere in un software maligno.

    Con una situazione di monopolio la cosa migliore è usare browser sconosciuti o poco usati (vedi Opera Konqueror ecc... ) che nessun pirata prenderà mai in considerazione (troppo basse le probabilità di successo).

    Quindi la soluzione al problema dei virus è

    la FINE DEL MONOPOLIO M$.
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: PinguinoMannaro
    >
    > > la FINE DEL MONOPOLIO M$.
    >
    > Dunque.. l'articolo parla di una vunerabilità
    > specifica di FF, e tu dici che la soluzione è "la
    > FINE DEL MONOPOLIO
    > M$"
    >
    > Ah, sisì... hai ragione
    > *gli dà una pacca sulla spalla e lo acompagna
    > alla
    > porta*.
    >
    > o forse cercavi di cambiare argomento?

    Il mio ragionamento non centra nulla col bug in questione, ho solo proposto un argomento aggiuntivo e di tipo economico.
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: PinguinoMannaro
    >
    > > Il mio ragionamento non centra nulla col bug in
    > > questione
    >
    > ah.. allora posso parlare di come si cucinano le
    > lasagne?

    Se lo apri io ti scrivo anche la ricetta.
  • - Scritto da: PinguinoMannaro
    > Cari ragazzi il problema non sono i bug dei
    > browser che probabilmente non spariranno mai il
    > problema sta nel monopolio di
    > IE.

    questo in parte è vero

    >
    > Il pirata incallito che vuole rubare dati o
    > mandare in giro virus worm o monnezza simile la
    > scriverà di sicuro per IE perché sa che il 90%
    > degli utenti usa questo browser quindi ha ottime
    > probabilità di azzeccarci.

    sicuro Sorride

    >
    > Ora poniamo che il mercato sia diviso fra 5
    > browser differenti tutti coi loro bei bug. In
    > questo caso il pirata in questione avrà solo una
    > probabilità su 5 di azzeccarci e considerando che
    > i bug sono diversi non potrà neanche sfruttare la
    > stessa falla per ottenere il risultato
    > desiderato. Quindi a parità di pirati un utente
    > avrà molte meno probabilità di cadere in un
    > software
    > maligno.

    in questo scenario sarebbe un incubo per chi sviluppa le web application! già adesso è diffcile vedere siti dinamici che funzionino davvero bene su IE, Firefox ed un altro browser e chi riesce a farli si fa davvero un gran mazzo

    > Con una situazione di monopolio la cosa migliore
    > è usare browser sconosciuti o poco usati (vedi
    > Opera Konqueror ecc... ) che nessun pirata
    > prenderà mai in considerazione (troppo basse le
    > probabilità di
    > successo).

    il problema di usare quoi browser lì è che molti siti non vanno correttamente; putroppole cose stanno così e non cambieranno dall' oggi al domani. Diciamo che firefox rappresenta un buon compromesso tra sicurezza (abbastanza buona, soprattutto se ci aggiungi noscript) e possibilità di vedere tutti i siti (questa è molto alta)

    > Quindi la soluzione al problema dei virus è
    >
    > la FINE DEL MONOPOLIO M$.

    di sicuro quando finisce un monopolio è sempre una cosa buona!
  • > >
    > > Il pirata incallito che vuole rubare dati o
    > > mandare in giro virus worm o monnezza simile la
    > > scriverà di sicuro per IE perché sa che il 90%
    > > degli utenti usa questo browser quindi ha ottime
    > > probabilità di azzeccarci.
    >
    > sicuro Sorride
    >

    Qualche pirata che punta sui mercati di nicchia c'è di sicuro, comunque, dovendosi basare su un browser meno diffuso, avrà anche meno probabilità di trovare un utente da attaccare.

    Mentre quello che si basa su IE avrà il 90% degli utenti a sua disposizione.

    Quindi con una maggiore distribuzione del mercato le probabilità di venire attaccati si ridurranno ma non spariranno.

    [Il mio è un puro ragionamento di probabilità]

    Per il problema della compatibilità penso che dopo una fase di adattamento la cosa dovrebbe risolversi.

    Con Konqueror vedo senza problemi quasi tutti i siti compreso questo.
    [Anche se normalmente uso FF]
  • ma infatti condivido in buona parte quello che hai scritto; solo penso che una situazione come quella che dipingi sarebbe difficile da realizzare in pratica, per lo stesso motivo per cui il 95% delle persone usa windows, cosa che rende talvolta difficile la vita per chi come me rientra in quel restante 5%.
    Fan LinuxFan Apple
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: PinguinoMannaro
    >
    > > Qualche pirata che punta sui mercati di nicchia
    > > c'è di sicuro, comunque, dovendosi basare su un
    > > browser meno diffuso, avrà anche meno
    > probabilità
    > > di trovare un utente da
    > > attaccare.
    >
    > No.
    > Lo si vede con i webserver che sono di svariato
    > tipo e attaccati anche da script automatizzati
    > che semplicemente provano tutte le tecniche note
    > vecchie (anche patchate, perchè non si sa mai) e
    > nuove indipendetemente dalla macchina
    > bersaglio.
    > Chi ha un webserver e può analizzarne i log lo sa
    > benissimo.

    Va bene, esistono, non lo metto in dubbio, ma questi worm in percentuale che quota di mercato hanno rispetto alla totalità dei worm che girano.

    Considera anche che per scrivere un worm come quello che hai decritto il lavoro richiesto è di molto superiore rispetto al lavoro necessario per scriverne uno specializzato su di uno specifico server.

    Quindi se il mercato dei server (che fortunatamente è concorreziale) divetasse monopolista la situazione peggiorerebbe di sicuro. Visto che sarebbe molto più facile attaccare un server molto conosciuto anche ai pirati.

    -------------

    Per quanto riguarda i browser ho detto che il rischio diminuirebbe senza sparire.
  • Lo ho scritto tante di quelle volte, ma non mi stufo mai!
    Per fortuna per Firefox esiste questo simpatico addon che viene aggiornato di continuo e che permette di proteggeresi dalle falle presenti, passate e future, basta un po' di sale in zucca ed evitare di concedere pieni poteri ai siti dei cracker cinesi...

    P.S.: per favore evitate gli interventi tipo "qui non si parla di Javascript ma di jar"; informatevi prima per favore.
  • Secondo te metti noscprit, e i problemi si risolvono??? ma tu sai cose uno script??? sai cosa riguarda la falla scoperta 9 mesi fa???
  • No, credo anche io che non sappia cosa sia uno script... E visto che senza script il Firefox diventa quello che dovrebbe essere: praticamente und TEXT-Browser.
  • - Scritto da: Adrianotiger
    > No, credo anche io che non sappia cosa sia uno
    > script... E visto che senza script il Firefox
    > diventa quello che dovrebbe essere: praticamente
    > und
    > TEXT-Browser.
    eccone un altro... noscript permette di scegliere da quali domini fare eseguire gli script, quindi quelli buoni li fai eseguire, quelli provenienti da crackercinesiuniti.com magari gli fai una bella pernacchia; nel dubbio io dico sempre no!
  • - Scritto da: pentolino
    > eccone un altro... noscript permette di scegliere
    > da quali domini fare eseguire gli script

    il 99,99% dei siti fa uso di javascript. Usare noscript significa sbattersi ad autorizzare uno ad uno i siti che si usa, senza contare che non serve ad una cippa, in quanto una volta che il sito è compromesso risulti vulnerabile dato che l'hai autorizzato tu stesso.
    NoScript non è una soluzione praticabile.
    non+autenticato
  • - Scritto da: falso
    >
    > il 99,99% dei siti fa uso di javascript.

    ma per il 98% di questi gli scipt sono solo per fare vedere le pubblicità; mi accontento di vederli anche senza

    > Usare
    > noscript significa sbattersi ad autorizzare uno
    > ad uno i siti che si usa, senza contare che non
    > serve ad una cippa, in quanto una volta che il
    > sito è compromesso risulti vulnerabile dato che
    > l'hai autorizzato tu
    > stesso.

    vero, per questo ci vado cauto con autorizzare siti dubbi

    > NoScript non è una soluzione praticabile.

    per me sì. poi se non ti sta bene puoi usare opera, konqueror, safari, IE o qualunque cosa giri sul tuo sistema operativo invece che denigrare un ottimo prodotto
  • Temo però che il bug in questione sia proprio sul fatto che FF ritenga che lo script arrivi da un dominio differente da quello dichiarato. Ho capito male?
    non+autenticato
  • La protezione data da NoScript contro questo tipo di cross-site scripting è indipendente dalla composizione della whitelist JavaScript: NoScript impedisce agli URL jar: di essere caricati come documenti dappertutto, anche sui siti fidati. Se proprio hai bisogno di disabilitare questo blocco per far funzionare una specifica applicazione intranet (ma non ne ho mai viste, e d'altronde nessun altro browser "conosce" il protocollo jar:), puoi gestire l'eccezione nell'apposito pannello delle opzioni (Avanzate/JAR/Eccezioni).
    non+autenticato
  • confermo e sottoscrivo
  • ancora con la storia di noscript, ma dico è possibile,
  • superTroll aspetto ancora la risposta a:
    http://punto-informatico.it/b.aspx?i=2115009&m=211...
    ma visto che non la scrivi evidentemente non la sai...
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 15 discussioni)