01 giugno, 2007

Vulnerabilità di Firefox nell'aggiornamento dei componenti aggiuntivi

di Percy Cabello

Christopher Soghoian ha scoperto una vulnerabilità di sicurezza nella modalità di aggiornamento dei componenti aggiuntivi di Firefox.

La vulnerabilità colpisce quei componenti che cercano aggiornamenti su siti web che non utilizzano sistemi di cifratura come SSL e quindi possono essere oggetto di attacchi di man-in-the-middle, tecnica ben conosciuta e che può essere sfruttata in qualunque tipo di connessione di rete. In tal caso, un malitenzionato potrebbe intercettare il traffico di rete durante una richiesta di aggiornamento di un componente, falsificare la risposta del sito remoto e introdurre nel computer della vittima qualunque tipo di malware.

Tutto questo non può accadere con le connessioni sicure perché la cifratura comporta la corrispondenza dell'indirizzo del server web con il certificato utilizzato per cifrare la connessione.

I componenti aggiuntivi ospitati presso Mozilla Add-ons non sono vulnerabili perché il sito utilizza la cifratura SSL.

Stando al rapporto di Soghoian, è sorprendente vedere come gli aggiornamenti di componenti famosi e ampiamente utilizzati come la Google Toolbar, Yahoo! Toolbar, del.icio.us, Facebook toolbar, Netcraft anti-phishing toolbar, AOL Toolbar e molte altre avvengano su connessioni non sicure.

I fornitori di componenti aggiuntivi dovrebbero utilizzare unicamente connessioni sicure, oppure farli ospitare presso Mozilla Add-ons. Allo stesso tempo, per evitare qualsiasi minaccia, Firefox dovrebbe consentire aggiornamenti provenienti solo da connessioni sicure.

2 commenti:

Anonimo ha detto...

E come è possibile scoprire se un sito utilizza un protocollo sicuro per l'aggiornamento delle estensioni oppure no?
Grazie

Rossano Orlandini ha detto...

Vedendo se il sito utilizza TLS/SSL per cifrare le comunicazioni. Banalmente, se è presente il suffisso https:// nel collegamento al sito.