[AGGIORNAMENTO] Rivelata vulnerabilità di Firefox al ToorCon 2006

di Percy Cabello

Durante il convegno hacker ToorCon 2006, gli speaker Mischa Spiegelmock e Andrew Wbeelsoi hanno dimostrato come un'attuale vulnerabilità di Firefox possa essere sfruttata per prendere il controllo del computer di un utente web. L'esperimento approfitta di una breccia nell'implementazione JavaScript di Mozilla: l'attaccante dovrebbe preparare una pagina con del codice speciale e avrebbe il controllo della macchina dell'ignaro visitatore.

SecuriTeam ha indicato 3 bug (attualmente chiusi al pubblico) riportati nella BugZilla di Mozilla come la causa della vulnerabilità. Brendan Eich, creatore di JavaScript e Chief Technology Officer di Mozilla, ha affermato che due dei bug sono nuovi e si riferiscono solamente a Firefox 2 (attualmente in versione Release Candidate) e non alla serie 1.5.x, l'ultima, quella stabile. Il terzo bug è relativo a vecchio codice presente ancora per retrocompatibilità ma che dovrebbe presto essere eliminato.

Eich aggiunge: "Anche se non vogliamo imbeccare i farabutti con le vulnerabilità causate dai nostri bug non corretti, noi riveliamo ogni cosa regolarmente. Ogni cosa. Questo ci espone alle critiche di "minor sicurezza" da parte degli esperti di statistiche. Ma questo è ovviamente indimostrato e indimostrabile, oltre ad essere improbabile. La cosa più importante è che, se contate i giorni di esposizione, siamo chiaramente migliori di altri browser".

Spiegelmock and Wbeelsoi hanno inoltre detto di essere al corrente di altre 30 vulnerabilità che "non pensano di rivelare, mantenendole invece nella lista dei bug".

Come nota di contorno, due patch di sicurezza alle vulnerabilità JavaScript verranno incluse nelle nightly build di Firefox 2 di oggi. Tuttavia, queste vulnerabilità sono state scoperte prima del ToorCon.

[AGGIORNAMENTO]: Window Snyder, responsabile della sicurezza Mozilla, ha dichiarato: "Finora siamo riusciti a riprodurre un problema di denial of service basandoci sulle informazioni che hanno dato durante la loro [Spiegelmock and Wbeelsoi, ndr] dimostrazione. In alcuni casi questo causa un crash dovuto ad un errore di memoria esaurita. Stando ai dati che abbiamo al momento, non possiamo confermare se un attaccante possa portare a termine un'esecuzione di codice. Stiamo ancora indagando e vi terremo aggiornati".

[AGGIORNAMENTO 2]: Spiegelmock è stato contattato da Mozilla e ha chiarito che non è stato in grado di sfruttare la vulnerabilità eseguendo codice ma il risultato è stato solo quello di mandare in crash Firefox. Spiegelmock non sa nulla delle altre 30 presunte vulnerabilità in quanto la dichiarazione è stata fatta da Wbeelsoi. Mozilla sta ancora procedendo negli accertamenti.