PDA

Visualizza versione completa : Falla in Firefox 2.0


Robbi
12-07-2007, 09.25.54
<p align="center"><img height="274" hspace="0" src="http://www.beedigital.net/blog/img/firefox2.jpg" width="348" align="baseline" border="0"></p><p align="justify">Alcuni esperti di sicurezza hanno individuato una falla di sicurezza nel browser Firefox 2.0 collegata con la gestione degli URL.</p><p align="justify">Classificata da Secunia come &quot;altamente critica&quot;, la lacuna di programmazione riguarda il gestore URI (Uniform Resource Identifier) firefoxurl://. Tutte le applicazioni che sono in grado di trattare codice HTML possono richiamare l'URI in questione. Secondo il ricercatore di sicurezza Thor Larholm, in particolare, la vulnerabilità è sfruttabile da Internet Explorer. </p><p align="justify"><br>Utilizzando l'opzione -chrome, eventuali malintenzionati possono mettere in atto attacchi &quot;cross browser&quot;: tale opzione permette di accedere alle risorse di Firefox con i privilegi più elevati. Come confermato da Secunia, quindi, visitando un sito web maligno mediante Internet Explorer, avendo installato Firefox 2.0.0.4, si potrebbe vedere eseguito, sul proprio sistema, codice nocivo.</p><p align="justify"><br></p><br /><br /><a href="http://www.wintricks.it/framer.php?url=http://www.snpx.com/cgi-bin/news55.cgi?target=www.newsnow.co.uk/cgi/NGoto/216310126?-1313" target="_blank"> <li>Maggiori Info</li> </a><br /><br />

harman
12-07-2007, 09.35.11
Tutte le applicazioni che sono in grado di trattare codice HTML possono richiamare l'URI in questione. Secondo il ricercatore di sicurezza Thor Larholm, in particolare, la vulnerabilità è sfruttabile da Internet Explorer.
Beh...se ho ben capito è sufficiente NON usare altre applicazioni che trattano codice HTML
Chi usa Firefox non ha bisogno o motivo di usare Internet Explorer ;)

Comunque c'è un workaround
la cancellazione dal registro di Windows della chiave HKEY_CLASSES_ROOT\FirefoxURL.

:jump:

Davide71
12-07-2007, 09.45.03
Chi usa Firefox non ha bisogno o motivo di usare Internet Explorer ;)


Beh, il motivo c'e'. Esistono alcuni siti che non vanno proprio col Firefox 2.0.0.4, dove pure l'IETAB non funziona, in questi casi utilizzare IE 6.xx o 7.xx e' cosa consueta.


byezzz

RNicoletto
12-07-2007, 10.33.34
harman e Davide71 hanno perfettamente evidenziato gli elementi di stranezza di questa falla. :confused:

In effetti, quando l'ho letta mi sono chiesto: ma questa è una falla in cosa??

In Firefox?? NO, perché se un utente usa solo questo per navigare il problema non si pone.

In Internet Explorer?? NO, perché non è IE ad eseguire le istruzioni javascript arbitrarie generate dalla falla.

In Microsoft Windows?? Effettivamente gli altri S.O. non sono affetti da questa vulnerabilità ma anche in questo caso non è Windows ad eseguire le istruzioni javascript arbitrarie.

Nell'advisory originale (http://larholm.com/2007/07/10/internet-explorer-0day-exploit/) si parla di IE exploit.

Insomma una bel casino! :D

gsmet
12-07-2007, 14.05.43
Sono due falle.

Firefox e il suo chrome permettono di eseguire codice con privilegi più alti. E questa è la prima falla.

Windows e il sistema di gestione degli URI, non ha nessun controllo sui caratteri passabili come parametro. Di conseguenza chiudendo la sequenza di " si può specificare una serie di parametri a piacimento, compreso un intero script che poi Firefox esegue come fosse un applicazione chrome.

Diciamo che VIRTUALMENTE la colpa è di Firefox perchè il gestore URI firefoxurl non dovrebbe permettere scopi alternativi. In parole povere, dovrebbe essere a prova di exploit. Il che vuol dire: Windows ti offre un serivizio, sta a te implmentarlo correttamente conoscendone i limiti.

Oltretutto è facilmente risolvibile :P Basta creare un parametro firefoxurl al posto di url per firefox. Quando viene trovato quel parametro tutti gli altri parametri venono ignorati.

Una piccola svista... un problema critico.

Lo stesso errore sarebbe utilizzabile anche negli altri sistemi operativi, se esiste una cosa simile alla gestione degli URI e all'avvio automatico dell'applicativo collegato come in Windows.

Non so se esiste, ma il concetto è tremendamente semplice.

L'unica differenza è che generalmente un processo sotto Windows gira in modalità Administrator, se non sono stati rifatti gli utenti. Sotto gli altri OS gira in modalità utente quindi i danni sono limitati.

Anche in questo caso, basta un occhio alla sicurezza :P