Gaia Bottà

Firefox, l'exploit e la patch

Il bug veniva sfruttato attraverso l'advertising ospitato su un sito russo per rastrellare informazioni sulla configurazione dei sistemi degli utenti. E' stato turato con un aggiornamento tempestivo

Roma - L'exploit è stato segnalato ieri, attivo su un sito generalista di notizie russo, veicolato dall'advertising e volto a colpire gli utenti di Firefox per ottenere informazioni sulla configurazione dei loro sistemi: Mozilla ha già messo a disposizione una patch volta a risolvere il problema.

La falla è descritta da Mozilla come critica e colpisce tutti gli utenti del browser che abbiano il visualizzatore di PDF integrato, escludendo quindi dal novero dei browser a rischio la versione di Firefox per dispositivi Android. Il problema rilevato nel codice permette di eludere la same origin policy, vale a dire il meccanismo che impedisce il caricamento di documenti e script da fonti diverse da quella legittima, e di iniettare uno script nel codice del lettore PDF integrato.

L'exploit segnalato appare diretto a raccogliere e a trasmettere a server remoti informazioni relative alla configurazione del sistema, dei client FTP e agli account per OS Windows e Linux, il tutto senza lasciare traccia. Ciò non significa però che gli utenti Mac siano immuni alla vulnerabilità, osserva Mozilla: semplicemente, il particolare exploit individuato non sembra prenderli in considerazione.
Mozilla ha già provveduto a rilasciare un aggiornamento capace di sistemare il bug: Firefox 39.0.3 risolve il problema per gli utenti ordinari, mentre Firefox 38.1.1 è destinato agli utenti enterprise.

Gaia Bottà
Notizie collegate
  • TecnologiaFirefox vede il futuroMozilla ha annunciato i piani per quello che definisce il futuro di Firefox, un futuro apparentemente dedicato a correggere quello che non va nel browser del Panda Rosso
  • SicurezzaFirefox si rimangia la cifratura opportunisticaLa fondazione statunitense rilascia un aggiornamento del browser open source che disabilita la tecnologia crittografica introdotta appena pochi giorni or sono. Troppo pericoloso il bug individuato da un ricercatore di sicurezza
17 Commenti alla Notizia Firefox, l'exploit e la patch
Ordina
  • Salve ho letto questo forum,

    mi chiedevo se esistono problemi di sicurezza per i visualizzatori PDF in Chrome and Microsoft Edge. Come sono diversi or simili tali visualizzatori?

    Noi utilizziamo http://pdfextractoronline.com per la conversione PDF a Excel.
  • 48 ore ed ecco già la patch. Certe vulnerabilità i mozilli le risolvono subito, altro che Internet explorer o Chrome, ancora infettabili da toolbar, hijack e quant'altro.
    Rinuncio volentieri alla versione 64 bit (che poi esiste, ad esempio Cyberfox) se ho questo livello di attenzione sul browser.
    non+autenticato
  • - Scritto da: rico
    > 48 ore ed ecco già la patch. Certe vulnerabilità
    > i mozilli le risolvono subito

    Talmente "subito" che era sfruttato per installare malware da un sito russo prima che quelli di Mozilla se ne accorgerssero. Rotola dal ridere
    non+autenticato
  • Ovvio, è quasi impossibile accorgersi di una falla ancora prima che venga sfruttata.
    non+autenticato
  • questi fanno girare pdf.js con privilegi che nemmeno il presidente della repubblica...
    E tutto ovviamente abilitato di default.

    p.s.
    io immune perché i PDF nella mia conf di scaricano non si visualizzano (ed uso un viewer lite open poco diffuso), ma tant'è...
    non+autenticato
  • - Scritto da: ...
    > questi fanno girare pdf.js con privilegi che
    > nemmeno il presidente della
    > repubblica...
    > E tutto ovviamente abilitato di default.

    Non sono affidabili.

    >
    > p.s.
    > io immune perché i PDF nella mia conf di
    > scaricano non si visualizzano (ed uso un viewer
    > lite open poco diffuso), ma
    > tant'è...
    non+autenticato
  • - Scritto da: fido
    > - Scritto da: ...
    > > questi fanno girare pdf.js con privilegi che
    > > nemmeno il presidente della
    > > repubblica...
    > > E tutto ovviamente abilitato di default.
    >
    > Non sono affidabili.

    Chi.
    non+autenticato
  • I mozilli.
    non+autenticato
  • - Scritto da: fido
    > I mozilli.

    Fanno sempre più pena.

    Tra l'altro nel 2015 manco esiste una versione a 64 bit, ma quanto sono scarsi.
    non+autenticato
  • Cyberfox? Comunque ti è necessario davvero tutta quella ram per navigare?
    non+autenticato
  • - Scritto da: EtherKiller
    > Cyberfox? Comunque ti è necessario davvero tutta
    > quella ram per
    > navigare?

    e cosa ne fai della RAM libera? la tieni da parte per i periodi di carestia? Fa bene ad usarla se gli serve.
    non+autenticato
  • - Scritto da: Nome e cognome

    > e cosa ne fai della RAM libera? la tieni da parte
    > per i periodi di carestia? Fa bene ad usarla se
    > gli
    > serve.

    più che altro il processo a 32bit crasha proprio quando sfora la dimensione massima dell'indirizzamento perché non fa in tempo a deallocare le robe vecchie... quindi i 64bit servono eccome se uno ha il 'vizio' di usare in modo intenso i tab.
    non+autenticato
  • - Scritto da: ...
    > questi fanno girare pdf.js con privilegi che
    > nemmeno il presidente della
    > repubblica...
    > E tutto ovviamente abilitato di default.
    >
    > p.s.
    > io immune perché i PDF nella mia conf di
    > scaricano non si visualizzano (ed uso un viewer
    > lite open poco diffuso), ma
    > tant'è...
    anch'io spawno i PDF fuori dal browser, ma la prima frase e' ingenerosa....

    e poi si deve tener conto che " #1 Since introduction PDF.js has only had 2 holes that were directly exploitable, neither leading to remote code execution which was the default behaviour for pretty much any bug found in Acrobat.
    #2 NIST NVD lists 445 CVEs for Acrobat, or at least 17 per year since introduction. However CVEs haven't been maintained since the early 90s, so that number should be much higher.
    "

    cionondimeno e' bloatware che io toglierei... assieme a diversa altraCon la lingua fuori
    non+autenticato
  • ( si beh son numeri un po a spanne ma c'e' del vero )
    non+autenticato
  • - Scritto da: bubba

    > e poi si deve tener conto che " #1 Since
    > introduction PDF.js has only had 2 holes that
    > were directly exploitable

    guarda che il problema è di software design, non di codice buggato.
    Il codice buggato, ormai l'abbiamo capito tutti (spero, ma sembra che proprio le SH facciano finta che non sia così) c'è sempre ed ovunque.
    Ed è proprio per questo che serve un software design accorto.

    Dare a PDF.js permessi che il normale JS non ha, è un grave errore di software design.
    Certo, probabilmente gli serve per scrivere su disco il file (tiro ad indovinare, non l'ho mai usato), o per qualche altra 'buona' ragione, ma se non cambiano design, è garantito che succederà nuovamente, non ci piove.
    non+autenticato