Preoccupante falla in Firefox 2

Le password salvate dal browser sono a rischio e per il momento non è disponibile alcuna patch. Affetto anche Internet Explorer.



[ZEUS News - www.zeusnews.it - 25-11-2006]

Foto di Korcan Yurdacan

E' stata scoperta una vulnerabilità piuttosto preoccupante in Firefox: attraverso una pagina web appositamente costruita (ma anche attraverso servizi come blog e forum che consentono all'utente di inserire codice Html) un malintenzionato può accedere facilmente ai dati memorizzati nel Password Manager di Firefox.

Molti utilizzano Firefox per ricordare le password dei siti: si può vedere l'elenco delle proprie password salvate attraverso il menu Strumenti > Opzioni > Sicurezza; anche qualora si utilizzi una password "generale" per accedere a questo archivio, il recente baco consente di scavalcare questa blanda protezione.

Una dimostrazione (in inglese) di come questo avvenga, corredata dal relativo codice Html, è disponibile sul sito di Robert Chapin, l'esperto in sicurezza che ha reso nota la vulnerabilità. Dal punto di vista tecnico, la falla consente di trasmettere a piacimento le coppie di username e password mediante richieste Get Http.

Potete testare la vulnerabilità voi stessi: provate a inserire un nome e una password qualsiasi, e poi rispondete alla richiesta di memorizzazione di Firefox. A questo punto cliccate sul video e vedrete che Firefox ha inviato il vostro nome e password (in chiaro) a un indirizzo fittizio. Per la dimostrazione è stata scelta una pagina di Google: trovate i dati inseriti nella barra degli indirizzi in alto.

In questo modo, anche quando visitate blog o forum fidati, un utente potrebbe avere inserito su una pagina di questi siti il codice maligno per prelevare le vostre password salvate, in maniera assolutamente trasparente nei vostri confronti, o meglio, alla vostra più totale insaputa.

Anche gli utenti di Internet Explorer sono affetti dal baco. Tuttavia, secondo lo stesso Robert Chapin, "la vulnerabilità in Firefox rende la riuscita dell'attacco molto più probabile".

Chapin ha definito questo tipo di attacco Reverse Cross-Site Request (Rcsr): l'utente visita una pagina web contenente il codice maligno e i suoi dati vengono poi ridiretti verso il sito dell'attaccante. Questo tipo di attacco si differenzia da quelli di tipo Csrf (Cross-Site Request Forgery) in cui l'attaccante, mediante un link inserito su un forum o su un blog, attira l'utente verso un sito-trappola che successivamente raccoglie i suoi dati.

La differenza tra Rcsr e Csrf sta nella direzione del flusso dei dati sottratti all'utente. Chapin ha dichiarato: "Gli attacchi Rcsr possono andare a buon fine più facilmente perché né Firefox né Internet Explorer controllano la destinazione dei dati di un form prima che l'utente li inserisca. L'utente vede un indirizzo fidato nella barra degli indirizzi del browser perché l'exploit avviene presso il sito fidato".

Alcuni giorni fa è stato condotto un attacco di questo genere su larga scala attraverso le pagine di MySpace, il servizio di upload e condivisione video recentemente acquisito da Murdoch: gli utenti venivano invitati a inserire il proprio nome e password attraverso una fasulla pagina di autenticazione.

Tanto Mozilla quando Microsoft sono stati invitati a correggere la falla. La prima, dopo aver confermato l'esistenza del bug, ha aperto la procedura per rimuoverlo in un prossimo aggiornamento di Firefox, probabilmente la versione 2.0.0.1 o la 2.0.0.2.

Microsoft ha invece dichiarato di essere a conoscenza del problema segnalato e ha aggiunto: "Secondo la nostra policy, non possiamo rilasciare commenti sulle indagini che stiamo svolgendo".

Per il momento l'unica soluzione possibile è disabilitare il password manager di Firefox. Alcuni suggeriscono di installare l'estensione per Firefox Master Password Timeout, ma questa non risolve comunque il problema. L'unica cosa che si può fare è prenderla sul ridere.

Nota: i forum dell'Olimpo informatico non sono affetti dalla vulnerabilità, in quando l'utente non vi può inserire codice Html.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 45)

Lo sospettavo... Leggi tutto
20-12-2006 16:00

Se vuoi passare alla 2.0.0.1 devi per forza scaricarti il file d'installazione completo di firefox e reinstallare il browser Leggi tutto
20-12-2006 15:55

Bella palla! ...A me appena arrivata la segnalazione di un aggiornamento automatico 1.5 e rotti... :roll:
20-12-2006 15:49

Segnalo che uscita la versione 2.0.0.1 di Firefox ma il bug di cui si discute in questo topic non stato corretto :evil:
20-12-2006 15:38

Salvarle su di un vecchio floppy? :roll: In questo modo non saranno residenti sull'HD. Le recuperi con un copia-incolla.. Ma sempre molto macchinoso.. Troppo macchinoso.
30-11-2006 19:43

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quale tra queste tecniche diffusamente utilizzate dagli hacker ti sembra la pi pericolosa?
1. Violazione di password deboli: l'80% dei cyberattacchi si basa sulla scelta, da parte dei bersagli, di password deboli, non conformi alle indicazioni per scegliere una password robusta.
2. Attacchi di malware: un link accattivante, una chiave USB infetta, un'applicazione (anche per smartphone) che non ci che sembra: sono tutti sistemi che possono installare malware nei PC.
3. Email di phishing: sembrano messaggi provenienti da fonti ufficiali o personali ma i link contenuti portano a siti infetti.
4. Il social engineering causa del 29% delle violazioni di sicurezza, con perdite per ogni attacco che vanno dai 25.000 ai 100.000 dollari e la sottrazione di dati.
5. Ransomware: quei programmi che "tengono in ostaggio" i dati dell'utente o un sito web finch questi non paga una somma per sbloccarli.

Mostra i risultati (2443 voti)
Dicembre 2021
Perché Intel accumula hardware obsoleto in Costa Rica?
Antitrust, 30 aziende contro Microsoft per colpa di OneDrive
Novembre 2021
L'app va in crash, e la Tesla non parte più
La Rete telefonica italiana agli americani di KKR
Se il furgone di Amazon ti tampona... la colpa è di Amazon!
Il Blue Screen of Death... ritorna blu
MediaWorld sotto attacco ransomware: hacker vogliono 200 milioni in bitcoin
SPID con le Poste, il riconoscimento adesso si paga
Facebook rinuncia ufficialmente al riconoscimento facciale
Ottobre 2021
Il Nobel ad Assange
Windows 11, finalmente si possono eseguire anche le app Android
FreeOffice 2021, la suite gratuita compatibile con Microsoft Office
Apple presenta i MacBook Pro con il notch
UE, addio all'anonimato per i domini Internet
Windows 11 è disponibile. Ecco come installarlo anche senza TPM
Tutti gli Arretrati
Accadde oggi - 8 dicembre


web metrics