di Percy Cabello
L'hacker Michal Zalewski ha rivelato oggi un paio di vulnerabilità presenti in Firefox 2.0.0.4.
La prima è relativa al comportamento degli inline frames (IFRAME) e potrebbe aiutare un sito web malevolo ad ingannarne un altro oppure a catturare la digitazione da tastiera. In una dimostrazione pubblicata dallo stesso Zalewski, una finestra pop-under viene aperta contemporaneamente alla home page di Cnn.com. La finestra pop-under viene rapidamente chiusa ma, da ora in avanti, tutto quello che viene digitato rimanendo su Cnn.com viene catturato dalla dimostrazione. Tutto questo potrebbe essere utilizzato per accedere ad account di posta elettronica e altre informazioni personali e finanziarie. Al momento la miglior protezione è quella di accedere direttamente a quei siti web e non seguire collegamenti esterni.
La seconda vulnerabilità scavalca il timeout che Firefox imposta per l'installazione delle estensioni e il download dei file, e potrebbe portare un utente a scaricare inavvertitamente un file o un programma pericoloso.
Nell'esempio fornito, una pagina web finge di essere un annuncio pubblicitario di un gioco e chiede all'utente, per vincere il premio in palio, di premere il tasto Invio ogni volta che compare una determinata parola. Sullo sfondo, quelle pressioni di tasti sono utilizzate per sfruttare la vulnerabilità e impedire il timeout. Ad un certo punto viene mostrata la finestra del download con il pulsante Salva già attivato (dunque senza attendere il conto alla rovescia) e la pressione del tasto Invio viene utilizzata per accettare il download di una pagina web malevola.
Secondo la descrizione della vulnerabilità, potrebbero non essere necessarie numerosi pressioni di tasti e anche un singolo click potrebbe essere sufficiente per disattivare il timeout. Personalmente trovo difficile difendersi da questo genere di attachi. Cercate solo di stare all'erta su quali finestre vi vengono proposte.
Mozilla è stata informata delle due vulnerabilità rispettivamente il 30 maggio e il 4 aprile, e al momento sono in discussione come bug privati, procedura consueta per quanto riguarda i problemi relativi alla sicurezza.
Si spera di vedere presto pubblicate delle patch per queste vulnerabilità. Nel frattempo, consigliamo agli utenti di agire con cautela.
04 giugno, 2007
Rivelate due vulnerabilità di sicurezza di Firefox
Iscriviti a:
Commenti sul post (Atom)
1 commento:
Al momento consiglio a tutti di usare l'estensione NoScript scaricabile da https://addons.mozilla.org/it/firefox/addon/722
Ho testato i due esploit segnalati nel post con NoScript attivato e... nessun risultato :-)
Posta un commento