24 novembre, 2006

Scoperta una grave vulnerabilità in Firefox

di Percy Cabello

E' stata annunciata ieri una vulnerabilità in Firefox nella gestione della password memorizzate: questa vulnerabilità permette a Firefox di completare automaticamente un modulo con le credenziali salvate, indipendentemente da dove queste siano inoltrate.

Come dimostrato in questo esempio, con riferimento al bug corrispondente registrato in BugZilla, le credenziali memorizzate vengono recuperate purché un modulo similare sia pubblicato all'interno dello stesso sito web. Robert Chapin si è imbattuto in questa vulnerabilità mentre navigava sul famoso sito di MySpace.com. Stava visitando un profilo di un utente quando è comparso un modulo molto somigliante al classico modulo di logon di MySpace. Poiché questo era ospitato presso MySpace.com, Firefox ha completato automaticamente il modulo fasullo. Un'anomalia presente in questa finestra contraffatta ha messo in allarme Chapin e lo ha salvato da un furto di identità, seppur di poco conto.

Gli utenti devono essere preparati e agire con prudenza, ricontrollando i moduli completato automaticamente. Se preferite comunque rimanere nella piena sicurezza, potete disabilitare il salvataggio delle password in Firefox.

  • Nel menu Strumenti, scegliete la voce Opzioni
  • Nella pagina Sicurezza, deselezionate Ricorda le password dei siti
Ho controllato anche altri browser e ho scoperto che SeaMonkey 1.0.6 si comporta allo stesso modo. Non è una sorpresa viste le cose che hanno in comune le due applicazioni. Internet Explorer 7 non completa automaticamente il modulo fasullo presente nell'esempio ma ne elenca le credenziali come se si trattasse di quello vero. Opera 9.02 riesce a distinguerli in modo corretto e non completa automaticamente quello contraffatto.

1 commento:

Anonimo ha detto...

Io ho provato a fare il test sul sito di Chapin e mi sono accorto che se inserisco due username, diciamo username e usernamefalso, il completamento automatico viene bloccato perchè firefox non sa decidere quale dei due inserire.
Sul sito di Netcraft viene anche detto che gli utilizzatori della toolbar sono stati avvisati del misfatto su Myspace, ma provando il proof of concept di Chapin Netcraft non mi ha avvisato di nulla.
Ciao