Se il file sharing rappresenta attualmente uno dei canali privilegiati dalle gang criminali per la distribuzione di malware e codice nocivo, non mancano di certo incidenti isolati in grado di ricordare che le vie di schifezzaware sono infinite e la sicurezza assoluta non esiste . Accade così che Firefox, browser web considerato tra i più sicuri al mondo, abbia portato in seno per mesi un componente adware rilasciato da un trojan.
L’ infezione è rimasta attiva da febbraio fino agli inizi di maggio, e ha riguardato il language pack per la lingua vietnamita disponibile per il download sul portale di ricerca dei componenti aggiuntivi del browser. Il codice incriminato è quello prodotto dal trojan Xorer , e consiste nella fattispecie in uno script iniettato all’interno dei file HTML presenti su un sistema infetto.
Il codice è il risultato dell’infezione ma non contiene l’infezione in se , assicurano da Mozilla, e si limita a mostrare su schermo alcuni banner pubblicitari. Nel mentre, dal 18 febbraio scorso – data dell’upload del pacchetto sui server Mozilla – non dovrebbero essere molti gli utenti che hanno scaricato il plug-in, considerando che la totalità di coloro che hanno effettuato il download del language pack vietnamita da novembre 2007 ammonta a circa 16mila persone.
Window Snyder, chief security di Mozilla, spiega che la breccia nei sistemi della società si è verificata a causa della mancata presenza della signature del trojan all’interno dei software antivirali, usati per scansionare il codice fornito alla società dai tanti collaboratori al progetto FOSS di Firefox. Una scansione che non viene poi più ripetuta nel corso del tempo, dando per scontato che oramai sia già tutto malware-free .
Mozilla è stata insomma vittima della sua fiducia eccessiva nella tecnologia antivirus basata sugli “hash”, già messa sotto accusa da più parti, ultima in ordine di tempo la contesa Race to Zero che tante polemiche ha provocato nel settore. L’autore del language-pack, ad ogni modo, non è sospettato dell’accaduto : verosimilmente, il suo sistema era già infetto con il trojan al momento dello sviluppo del plug-in, e come risultato anche il file HTML di guida del suddetto è risultato infetto con lo script malevolo di cui sopra.
In via cautelativa, il pacchetto è stato ora messo off-line in attesa di una riedizione mondata dal problema. Per il futuro, Mozilla si impegna a ripetere la scansione di tutti gli add-on presenti sui propri server a ogni aggiornamento di signature antivirali, e non più solo in occasione della distribuzione iniziale dei pacchetti.
Alfonso Maruccia
Ti potrebbe interessare
9 mag 2008