Alfonso Maruccia

Mozilla Firefox serve codice infetto

Nessuno se n'era accorto, ma un trojan s'era infilato in un plug-in ufficiale per il browser. Il plug-in č ora off-line, e Mozilla studia nuovi modi per validare il codice

Roma - Se il file sharing rappresenta attualmente uno dei canali privilegiati dalle gang criminali per la distribuzione di malware e codice nocivo, non mancano di certo incidenti isolati in grado di ricordare che le vie di schifezzaware sono infinite e la sicurezza assoluta non esiste. Accade così che Firefox, browser web considerato tra i più sicuri al mondo, abbia portato in seno per mesi un componente adware rilasciato da un trojan.

L'infezione è rimasta attiva da febbraio fino agli inizi di maggio, e ha riguardato il language pack per la lingua vietnamita disponibile per il download sul portale di ricerca dei componenti aggiuntivi del browser. Il codice incriminato è quello prodotto dal trojan Xorer, e consiste nella fattispecie in uno script iniettato all'interno dei file HTML presenti su un sistema infetto.

Il codice è il risultato dell'infezione ma non contiene l'infezione in se, assicurano da Mozilla, e si limita a mostrare su schermo alcuni banner pubblicitari. Nel mentre, dal 18 febbraio scorso - data dell'upload del pacchetto sui server Mozilla - non dovrebbero essere molti gli utenti che hanno scaricato il plug-in, considerando che la totalità di coloro che hanno effettuato il download del language pack vietnamita da novembre 2007 ammonta a circa 16mila persone.
Window Snyder, chief security di Mozilla, spiega che la breccia nei sistemi della società si è verificata a causa della mancata presenza della signature del trojan all'interno dei software antivirali, usati per scansionare il codice fornito alla società dai tanti collaboratori al progetto FOSS di Firefox. Una scansione che non viene poi più ripetuta nel corso del tempo, dando per scontato che oramai sia già tutto malware-free.

Mozilla è stata insomma vittima della sua fiducia eccessiva nella tecnologia antivirus basata sugli "hash", già messa sotto accusa da più parti, ultima in ordine di tempo la contesa Race to Zero che tante polemiche ha provocato nel settore. L'autore del language-pack, ad ogni modo, non è sospettato dell'accaduto: verosimilmente, il suo sistema era già infetto con il trojan al momento dello sviluppo del plug-in, e come risultato anche il file HTML di guida del suddetto è risultato infetto con lo script malevolo di cui sopra.

In via cautelativa, il pacchetto è stato ora messo off-line in attesa di una riedizione mondata dal problema. Per il futuro, Mozilla si impegna a ripetere la scansione di tutti gli add-on presenti sui propri server a ogni aggiornamento di signature antivirali, e non più solo in occasione della distribuzione iniziale dei pacchetti.

Alfonso Maruccia
240 Commenti alla Notizia Mozilla Firefox serve codice infetto
Ordina
  • sempre la solita zorfa inutileA bocca aperta

    ricordo ai trollisti che __NON__ e' obbligatorio utilizzare software opensource

    commenti simili significano che vi rode
  • io non capisco sta gente che continua a dire che l'open non è sicuro...

    ipotizziamo che sia una vulnerabilità grave...
    comunque sia è un plug-in!
    sei tu che lo installi...
    sei tu che clicchi su OK anche se non è firmato...
    sei tu che non controlli il codice per vedere se è fatto bene...

    voi dite dite... ma la colpa è di chi installa alla cieca..
  • Beh, l'articolo parla di un language pack vietnamita. Non si tratta di plug in non firmato, un vietnamita che lo installa perkè conosce solo la propria lingua è probabile che si begga un virus. Ergo l'open non è sicuro
    non+autenticato
  • 1- anche e lo installi non ti becchi un virus...
    2- anche se fosse... è colpa tua che installi il plug-in e non controlli...
    3-non è un virus ma "pubblicità", ergo con adblock ti bastano 3 click per renderlo inoffensivo.
    4-perchè dovrebbe essere poco sicuro l'open? solo perchè qualcuno ha sfruttato una vulnerabilità? ma dai...
    sai quanti buchi ci sono in windows che vengono continuamente sfruttati e il vecchio bill non fa nulla per tapparli? se l'open non è sicuro allora il closed è sicuro come una saxo sparata ai 230 in autostrada...
  • Il capo della sicurezza del progetto Firefox, di nome fa Window !!! A bocca aperta

    Però almeno pare simpatica:
    http://www.flickr.com/photos/windowsnyder/58200550/

    Scherzi a parte, non ho mai visto una discussione con più polemica inutile.
    non+autenticato
  • Cito:
    Il codice è il risultato dell'infezione ma non contiene l'infezione in se

    quindi? quindi il vairus non c'e'!

    taaaanto fumo e poco arrosto. (meglio sto in dieta) passate pero' GRASSSIESorride
    non+autenticato
  • - Scritto da: MeMedesimo
    > Cito:
    > Il codice è il risultato dell'infezione ma non
    > contiene l'infezione in
    > se
    >
    > quindi? quindi il vairus non c'e'!
    >
    > taaaanto fumo e poco arrosto. (meglio sto in
    > dieta) passate pero' GRASSSIE
    >Sorride

    La cosa sconvolgente, in realtà è un'altra, ossia che un pacchetto, una volta controllato ocn gli antivirus non viene più ricontrollato, dando per buono che sia a posto.
    non+autenticato
  • > La cosa sconvolgente, in realtà è un'altra, ossia
    > che un pacchetto, una volta controllato ocn gli
    > antivirus non viene più ricontrollato, dando per
    > buono che sia a
    > posto.

    Il che è sicuramente assurdo, come se i produttori di antivirus fossero all'oscuro del fatto che i virus possono contaminare pacchetti che ad un precedente controllo si erano rivelati sani.
  • Nell'articolo si citano gli hash. Se tu ad esempio prendi un file e lo passi per md5 o sha1 o qualunque altro programma di questo genere, ottieni un risultato, chiamato hash. SHA-1, ad esempio, consiste in 40 caratteri alfanumerici, tipo questo:

    8233f28c479ff758b3b4ba9ad66069db68811e59

    Ora se tu prendi un file, di qualunque tipo, e lo passi per SHA-1 ottieni un hash, ma se ne modifichi anche un solo bit ottieni un hash completamente differente. Quindi se crei un file di testo e ci scrivi dentro Hello World! potresti ottenere un hash di questo tipo:

    430ce34d020724ed75a196dfc2ad67c77772d169

    Se modifichi in Hello World!! ottieni:

    13cccf0a41de644625faad47eb59d388bc50e6c0

    Hai aggiunto soltanto un punto esclamativo eppure il risultato è cambiato notevolmente. Con questo sistema loro fanno una prima scansione, se va a buon fine assegnano un hash al file (addon o quello che è) e poi si occupano soltanto di verificare la corrispondenza dell'hash. In questo modo sono certi che nessuno possa modificare quel file, se accadesse non ci sarebbe corrispondenza negli hash e risalterebbe all'occhio.

    I problemi che nascono con questo sistema sono:
    * dove conservano gli hash?
    * quando un utente richiede un addon c'è un sistema, sul server di distribuzione, che confronta l'hash registrato con quello del file che sta per essere inviato?
    * e se esiste, tale controllo blocca l'invio del file?
    * e infine, c'è il problema che si è verificato, se non c'è traccia di quel virus nei db dell'antivirus, quel virus passa e prolifera

    A parte l'ultima, il resto sono tutte questioni che probabilmente hanno affrontato e risolto, altrimenti non avrebbe senso come sistema di sicurezza. Il problema è che tutto ciò che passa la procedura di verifica poi viene considerato affidabile. Ma come è stato detto, lo risolveranno, almeno spero ;D
    non+autenticato
  • Questo post è rivolto, agli utenti che sostengono, che il malaware in questione Xorer Trojan trovato nel language pack vietnamita di firefox non è solo per Windows andate qui:

    http://www.pandasecurity.com/homeusers/security-in...

    Dovete capire, che il malaware funziona solo su Windows perchè è stato scritto per Windows.

    quindi utilizzatori di firefox su piattaforma Mac & Linux potete stare tranquilli, come sempre.
  • - Scritto da: gnulinux86
    > Questo post è rivolto, agli utenti che
    > sostengono, che il malaware in questione Xorer
    > Trojan trovato nel language pack vietnamita di
    > firefox non è solo per Windows andate

    A quel che ho letto, nel pacco vietnamese c'era solo la parte modificata dal troiano, non il troiano stesso.

    Il punto e' che anche se non e' in grado di replicarsi, fa comunque il suo sporco lavoro che al momento si sa solo che consiste nell'aprire banner; poi chissa', magari colleziona pwd o tenta di farsi amico il WOPR di turno...

    CYA
    non+autenticato
  • - Scritto da: z f k

    > Il punto e' che anche se non e' in grado di
    > replicarsi, fa comunque il suo sporco lavoro che
    > al momento si sa solo che consiste nell'aprire
    > banner;

    Un js cosa vuoi che faccia? Puoi bloccarlo col blocco dei pop-up se hai linux. Non si tratta di js che sfrutta vulnerabilità.

    > poi chissa', magari colleziona pwd o
    > tenta di farsi amico il WOPR di
    > turno...


    mi apre che il codice sia conosciuto e non è un nuovo malware, scarica una pagina che potrebbe essere modificata in modo da sfruttare vulnerabilità, questo è il massimo della pericolosità su sitemi windows. Su linux i pop-up sono disabilitati credo di default.
  • - Scritto da: Sandro kensan

    > Un js cosa vuoi che faccia? Puoi bloccarlo col
    > blocco dei pop-up se hai linux.

    Ma che vaccata. Il blocco popup di un browser non dipende dal sistema operativo. Dipende dal browser.

    > Su linux i pop-up
    > sono disabilitati credo di
    > default.

    Ripeto, e da quando in qua il sistema operativo ha il controllo sul blocco popup?
    non+autenticato
  • - Scritto da: Blackstorm

    > Ripeto, e da quando in qua il sistema operativo
    > ha il controllo sul blocco
    > popup?

    Il SO ha *influenza* sul blocco pop-up ne senso che certi js riescono a eludere la sorveglianza di FF e dai commenti precedenti su windows ci riescono molto bene.
  • - Scritto da: Sandro kensan
    > - Scritto da: z f k


    > > poi chissa', magari colleziona pwd o
    > > tenta di farsi amico il WOPR di
    > > turno...

    >
    > mi apre che il codice sia conosciuto e non è un
    > nuovo malware, scarica una pagina che potrebbe

    Il punto era un altro, scusate se non sono stato piu' chiaro.

    _Stavolta_ non faceva un bel niente di che, ma il meccanismo in se' _non_ e' legato a questo particolare malware e puo' essere sfruttato da altri potenzialmente molto piu' dannosi (_non_ necessariamente per il sistema).

    Spero che cosi' si veda meglio la luna, piuttosto che il ditoA bocca aperta

    CYA
    non+autenticato
  • ...e tra l'altro scaricare il pacchetto non ha come conseguenza un contagio...
    H5N1
    1641
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 20 discussioni)