11 luglio, 2007

Una vulnerabilità utilizza Internet Explorer per attaccare Mozilla Firefox

tratto da mozillaZine

Ieri CNET News.com ha pubblicato un articolo su una minaccia di sicurezza per gli utenti Windows che hanno sia Mozilla Firefox che Internet Explorer installati nel proprio sistema. La vulnerabilità permette ad un malintenzionato di ingannare Firefox eseguendo del codice potenzialmente maligno. In ogni caso, l'utente deve utilizzare Internet Explorer per essere colpito.

Il ricercatore di sicurezza Thor Larholm ha pubblicato una descrizione del funzionamento della vulnerabilità, compresa una dimostrazione pratica (che alcuni hanno segnalato di non riuscire a riprodurre). Quando si installa su Windows, Firefox registra un URL protocol handler per gestire gli URL di tipo firefoxurl:// (esattamente come i protocol handler http:// e ftp://). Se un utente Internet Explorer visita una pagina web che tenta di richiamare un URL firefoxurl:// (ad esempio, utilizzando un IFrame), Internet Explorer avvierà Firefox senza alcun preavviso, passandogli l'URL. I due browser non riescono a sfuggire o ripulire l'URL che consente, quindi, al malintenzionato di iniettare ulteriori parametri alla linea di comando utilizzata per invocare Firefox. Usato in combinazione con il parametro -chrome, l'utente malitenzionato può far eseguire a Firefox del codice JavaScript pericoloso.

Ci sono alcune discussioni in corso su chi incolpare - è Internet Explorer che passa dati non di fiducia ad un'altra applicazione oppure è Firefox che non verifica correttamente le informazioni in arrivo? SecurityFocus dà la colpa a Redmond e definisce il problema come una vulnerabilità di Internet Explorer nella gestione del protocol handler FirefoxURL, mentre Secunia sottolinea che si tratta di una vulnerabilità di registrazione dell'URI handler "firefoxurl" da parte di Firefox e quindi punta l'indice su Mozilla. News.com riporta invece le parole di Oliver Friedrichs di Symantec che dice: "E' un po' colpa di tutti e due".

Sul blog ufficiale di Mozilla Security, Windows Snyder (che ha lavorato in passato per Microsoft) afferma che una correzione al problema sarà presto inclusa nell'imminente Firefox 2.0.0.5. Queste parole portano a pensare che Snyder crede che si tratti perlopiù di un problema di Internet Explorer, facendo notare che anche Apple ha risolto recentemente una questione simile in Safari. In ogni caso, secondo il blog relativo alla sicurezza di ZDNet, Microsoft sostiene che il bug del firefoxurl:// "non è una vulnerabilità di un prodotto Microsoft".

Sul proprio blog, Jesper Johansson (anch'egli ex dipendente Microsoft) spiega che questa vulnerabilità è un problema di Mozilla e fornisce alcune istruzioni su come deregistrare gli URL protocol handler.

Nessun commento: