Preoccupante falla in Firefox 2

Le password salvate dal browser sono a rischio e per il momento non è disponibile alcuna patch. Affetto anche Internet Explorer.



[ZEUS News - www.zeusnews.it - 25-11-2006]

Foto di Korcan Yurdacan

E' stata scoperta una vulnerabilità piuttosto preoccupante in Firefox: attraverso una pagina web appositamente costruita (ma anche attraverso servizi come blog e forum che consentono all'utente di inserire codice Html) un malintenzionato può accedere facilmente ai dati memorizzati nel Password Manager di Firefox.

Molti utilizzano Firefox per ricordare le password dei siti: si può vedere l'elenco delle proprie password salvate attraverso il menu Strumenti > Opzioni > Sicurezza; anche qualora si utilizzi una password "generale" per accedere a questo archivio, il recente baco consente di scavalcare questa blanda protezione.

Una dimostrazione (in inglese) di come questo avvenga, corredata dal relativo codice Html, è disponibile sul sito di Robert Chapin, l'esperto in sicurezza che ha reso nota la vulnerabilità. Dal punto di vista tecnico, la falla consente di trasmettere a piacimento le coppie di username e password mediante richieste Get Http.

Potete testare la vulnerabilità voi stessi: provate a inserire un nome e una password qualsiasi, e poi rispondete alla richiesta di memorizzazione di Firefox. A questo punto cliccate sul video e vedrete che Firefox ha inviato il vostro nome e password (in chiaro) a un indirizzo fittizio. Per la dimostrazione è stata scelta una pagina di Google: trovate i dati inseriti nella barra degli indirizzi in alto.

In questo modo, anche quando visitate blog o forum fidati, un utente potrebbe avere inserito su una pagina di questi siti il codice maligno per prelevare le vostre password salvate, in maniera assolutamente trasparente nei vostri confronti, o meglio, alla vostra più totale insaputa.

Anche gli utenti di Internet Explorer sono affetti dal baco. Tuttavia, secondo lo stesso Robert Chapin, "la vulnerabilità in Firefox rende la riuscita dell'attacco molto più probabile".

Chapin ha definito questo tipo di attacco Reverse Cross-Site Request (Rcsr): l'utente visita una pagina web contenente il codice maligno e i suoi dati vengono poi ridiretti verso il sito dell'attaccante. Questo tipo di attacco si differenzia da quelli di tipo Csrf (Cross-Site Request Forgery) in cui l'attaccante, mediante un link inserito su un forum o su un blog, attira l'utente verso un sito-trappola che successivamente raccoglie i suoi dati.

La differenza tra Rcsr e Csrf sta nella direzione del flusso dei dati sottratti all'utente. Chapin ha dichiarato: "Gli attacchi Rcsr possono andare a buon fine più facilmente perché né Firefox né Internet Explorer controllano la destinazione dei dati di un form prima che l'utente li inserisca. L'utente vede un indirizzo fidato nella barra degli indirizzi del browser perché l'exploit avviene presso il sito fidato".

Alcuni giorni fa è stato condotto un attacco di questo genere su larga scala attraverso le pagine di MySpace, il servizio di upload e condivisione video recentemente acquisito da Murdoch: gli utenti venivano invitati a inserire il proprio nome e password attraverso una fasulla pagina di autenticazione.

Tanto Mozilla quando Microsoft sono stati invitati a correggere la falla. La prima, dopo aver confermato l'esistenza del bug, ha aperto la procedura per rimuoverlo in un prossimo aggiornamento di Firefox, probabilmente la versione 2.0.0.1 o la 2.0.0.2.

Microsoft ha invece dichiarato di essere a conoscenza del problema segnalato e ha aggiunto: "Secondo la nostra policy, non possiamo rilasciare commenti sulle indagini che stiamo svolgendo".

Per il momento l'unica soluzione possibile è disabilitare il password manager di Firefox. Alcuni suggeriscono di installare l'estensione per Firefox Master Password Timeout, ma questa non risolve comunque il problema. L'unica cosa che si può fare è prenderla sul ridere.

Nota: i forum dell'Olimpo informatico non sono affetti dalla vulnerabilità, in quando l'utente non vi può inserire codice Html.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 45)

Lo sospettavo... Leggi tutto
20-12-2006 16:00

Se vuoi passare alla 2.0.0.1 devi per forza scaricarti il file d'installazione completo di firefox e reinstallare il browser Leggi tutto
20-12-2006 15:55

Bella palla! ...A me è appena arrivata la segnalazione di un aggiornamento automatico 1.5 e rotti... :roll:
20-12-2006 15:49

Segnalo che è uscita la versione 2.0.0.1 di Firefox ma il bug di cui si discute in questo topic non è stato corretto :evil:
20-12-2006 15:38

Salvarle su di un vecchio floppy? :roll: In questo modo non saranno residenti sull'HD. Le recuperi con un copia-incolla.. Ma è sempre molto macchinoso.. Troppo macchinoso.
30-11-2006 19:43

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
L'Italia e gli italiani sono pronti per il (video)gioco online?
I giocatori sarebbero anche pronti, ma il problema è il digital divide. Senza una connessione broadband il gioco online è una chimera.
In Italia più che in altri paesi ha ampia diffusione la pirateria. Il fatto che buona parte dei giocatori utilizzi prodotti contraffatti limiterà la crescita dell'online gaming.
Barriere linguistiche e ritardi nella diffusione di giochi e tecnologie online ci hanno penalizzato nel passato, ma oggi le possibilità di sviluppo sono rosee.
Non ci sono barriere tecniche, ma solo culturali. Il videogioco è tradizionalmente visto come un prodotto da fruire individualmente o in compagnia di amici.
La comunità di giocatori online italiana non ha nulla da invidiare per qualità e quantità a quelle degli altri paesi.

Mostra i risultati (728 voti)
Ottobre 2020
Windows 10, Microsoft si prepara a rivoluzionare l'interfaccia
Windows 10 elimina la schermata Sistema, un trucco la riporta in vita
L'app che “spoglia” le donne: garante privacy apre istruttoria
Gasolio addio, FS vuole i treni a idrogeno
Windows 10, guai a catena dopo l'ultimo aggiornamento
Windows 10, Pc riavviati a forza per installare le web app di Office
Quel motivetto che hai in testa? Se lo fischietti, Google lo indovina
YouTube pronta a far guerra ad Amazon
Le cipolle troppo sexy per Facebook
Smishing, i consigli per non cadere nel tranello
Arrestato per recensioni online negative di un albergo
Windows 10, arriva l'installazione personalizzata
Il sito che installa tutte le app essenziali per Windows 10
Covid-19, casi sottostimati per colpa di Excel
Il furto automatico del PIN della carta di credito
Tutti gli Arretrati


web metrics