11 febbraio, 2008

Una vulnerabilità per Firefox? O forse no...

di Percy Cabello

Ronald van den Heetkamp ha divulgato nel proprio blog l'esistenza di un bug che interesserebbe tutte le versioni di Firefox fin qui pubblicate, compresa la 2.0.0.12.

Il bug consentirebbe ad un sito web malintenzionato di leggere i file presenti nella cartella di installazione di Firefox (cioè C:\Programmi\Mozilla Firefox in Windows). Questa dimostrazione pratica, pubblicata da van den Heetkamp e ospitata su Mozilla Links, visualizza tutti i file allprefs.js presenti nella vostra macchina.

Anche se il bug è reale, nel senso che Firefox fa qualcosa che non dovrebbe fare, è difficile dire se può essere chiamato "vulnerabilità di sicurezza" perché nessun dato personale viene salvato nella cartella di installazione. Inoltre, il protocollo resource: sul quale questa vulnerabilità fa affidamento non consente più l'attraversamento delle directory fin dalla versione 2.0.0.4, e dunque non è possibile accedere ai file nelle cartelle figlie o genitrici.

A meno che qualcuno non escogiti un modo, grazie a questa vulnerabilità, per accedere ai dati dell'utente (è stato suggerito che potrebbe rappresentare un rischio per gli utenti di Portable Firefox poiché i profili utente sono memorizzati insieme ai dati del programma) non c'è nulla di cui preoccuparsi se non un bug da risolvere, e cioè il fatto che le pagine web non dovrebbero poter accedere ai file locali senza il consenso dell'utente.

Deve essere sottolineato che questo bug fu inizialmente divulgato lo scorso mese di maggio e non fu considerato una vulnerabilità di sicurezza. Che lo sia oppure no, secondo me si è aspettato fin troppo.

Nessun commento: