24 gennaio 2008

Mozilla Firefox chrome:// URI JavaScript File Request Information Disclosure Vulnerability

Il sito di sicurezza Security Focus (http://www.securityfocus.com/bid/27406/info) riporta, nel Bugtraq ID 27406 (http://www.securityfocus.com/bid/27406/info), che Gerry Eisenhaur ha scoperto una falla in Mozilla Firefox 2.0.0.11 sensibile alla rivelazione di informazioni sensibili perchè non istruito a dovere sulle politiche di restrizione all'accesso ai file locali JavaScript.

Un attacker può usare questo exploit per accedere ad informazioni sensibili che potrebbero essere usati per attacchi a più ampio spettro.
La versione di Firefox vulnerabile è la 2.0.0.11 ma non si esclude che anche altre versioni siano affette.


NOTA: Per essere sfruttato il bug, un utente deve avere un estensione installata per il browser che non deve immagazinare il suo contenuto (javascript) in un file .jar (almeno questo è quello che risulta dalla mia traduzione più o meno attendibile, se non fosse così, segnalatemelo pure).

NOTE: For an exploit to succeed, a user must have an addon installed that does not store its contents in a '.jar' file.

come spiegato da chill-out, nell'intervento riportato, chi usa l'estensione noscript, sta al sicuro.


Soluzioni: al momento non esistono soluzioni o patch disponibili per la risoluzione del problema definitivo, ma solo soluzioni tampone, come spiegato nella nota. non aprire siti poco raccomandabili.

c.m.g



Fonte: SecurityFocus.com (http://www.securityfocus.com/bid/27406/info)

Fonte: Mozilla Security Blog
Link alla notizia in lingua inglese: http://blog.mozilla.com/security/2008/01/22/chrome-protocol-directory-traversal/

da notare il commento di Giorgio Maone creatore di NoScript

grazie chill-out, come sempre i tuoi approfondimenti sono la "ciliegina sulla torta" delle notizie riportate in questa sezione ;)

falla ripresa anche da Secunia:

http://secunia.com/advisories/28622/

http://www.tomshw.it/news.php?newsid=12755

Sembra non prioritaria....

24 Gennaio 2008 ore 12:06

http://www.webnews.it/img/news/news_124884a1fbce41f5.jpg

Un'errata gestione delle add-on che non arrivano in directory .jar può lasciare via libera ad attacchi in grado di eseguire script e fogli di stile sul computer remoto e quindi anche verificare la presenza o meno di certi file


Firefox sempre più violentato. Il browser open source dimostra allo stesso tempo la legge per la quale al crescere dell'utenza crescono i problemi e i possibili buchi di sicurezza e quella per la quale nell'open source la comunità pone rimedio.


L'ultima vulnerabilità scoperta infatti parla della possibilità di eseguire un file javascript arbitrariamente su una macchina remota e a scoprirla e segnalarla (http://www.hiredhacker.com/2008/01/19/firefox-chrome-url-handling-directory-traversal/) è stato un utente, Gerry Eisehaur, blogger esperto di sicurezza.

Il problema sarebbe scatenato dagli add-on che non sono contenuti in directory .jar ma che arrivano "flat" ovvero non compressi. Sfruttando un simile add-on (come ad esempio Download Statusbar o Greasemonkey) da un pagina internet appositamente programmata è possibile far partire script o fogli di stile presenti sul computer dell'utente. Un'utilità per chi attacca è verificare la presenza su disco di alcune applicazioni o fare una profilazione efficace del sistema preso di mira per condurre un altro tipo di attacco (più efficace perchè ritagliato appositamente per la vittima).

Oltre alla fuga di dati dunque c'è anche il problema di rendere leggibili informazioni che possono svelare particolari determinanti per condurre altri attacchi. Nonostante tutto però Mozilla classifica il problema come di bassa priorità anche se chiaramente sta lavorando per mettere a punto una patch risolutiva.

Gabriele Niola


Fonte: WebNews.it (http://www.webnews.it/news/leggi/7582/firefox-ce-un-bug-sotto-esame/)

grazie chill-out, come sempre i tuoi approfondimenti sono la "ciliegina sulla torta" delle notizie riportate in questa sezione ;)

grazie a te, in questi giorni sono un pò latitante dalle sezione News ma sò che posso contare su di tè ;)

ultimi sviluppi sul bug "crome":

30 gennaio 2008 alle 19.54

Firefox 2.0.0.12 a Breve per Falla Chrome

http://www.tweakness.net/imgarchive/firefox_falla2.jpg

Dopo ulteriori indagini sulla problematica, Mozilla (http://www.tweakness.net/topic.php?id=4327#) ha innalzato (http://blog.mozilla.com/security/2008/01/29/status-update-for-chrome-protocol-directory-traversal-issue/) il livello di gravità della vulnerabilità "chrome protocol directory traversal" isolata nel suo browser Firefox e segnalata la scorsa settimana (http://www.tweakness.net/topic.php?id=4314).


La falla, che affligge il suo popolare browser open-source nella gestione degli indirizzi "chrome:" in presenza di estensioni "flat", è ora ritenuta di severità "alta"; di conseguenza Mozilla ha annunciato che rilascerà un fix per il bug (già realizzato sul codice (https://bugzilla.mozilla.org/show_bug.cgi?id=413451)) in Firefox 2.0.0.12, aggiornamento che dovrebbe essere reso disponibile nei prossimi giorni (domani sul canale beta e probabilmente (http://groups.google.com/group/mozilla.dev.planning/browse_thread/thread/12737062c037beba#7403310a40330496) il 5 Febbraio in versione finale).

La falla descritta era stata già da Window Snyder, Mozilla security (http://blog.mozilla.com/security/2008/01/22/chrome-protocol-directory-traversal/) chief, sul blog ufficiale Mozilla Security. Inizialmente (http://www.tweakness.net/topic.php?id=4314) l'analisi del problema aveva mostrato che la falla poteva consentire ad un sito malintenzionato di accedere ai file locali conservati in posizioni conosciute.

Si tratta nello specifico di una vulnerabilità nello schema di protocollo "chrome" che permette un exploit "directory traversal" in presenza di un add-on (estensione) "flat", portando ad una potenziale disclosure di informazioni. La vulnerabilità interessa quindi quelle estensioni che si installano come set di file non compressi, senza sfruttare il formato file .jar.

Quando un pacchetto chrome è "flat" invece di essere contenuto un file .jar, è possibile eseguire l'escape della cartella delle estensioni e leggere file posizionati in location prevedibili sul disco. La vulnerabilità era stata segnalata originariamente da Gerry Eisenhaur (http://www.hiredhacker.com/2008/01/19/firefox-chrome-url-handling-directory-traversal) sul suo blog. Il ricercatore ha anche pubblicato un codice proof of concept che dimostra l'exploit della falla.

Su Mozilla Security è stato pubblicato un aggiornamento dell'impatto potenziale di questa falla. "Un attacker può utilizzare questa vulnerabilità per collezionare informazioni di sessione, tra cui cookie di sessione e cronologia di sessione. Firefox non è vulnerabile di default. Solo gli utenti che hanno installato estensioni 'flat packed' sono a rischio. Una discussione sulle estensioni 'flat packed' (più di 600) si trova qui (https://bugzilla.mozilla.org/show_bug.cgi?id=413549). Una lista parziale di estensioni 'flat packed' è disponibili qui (https://bugzilla.mozilla.org/attachment.cgi?id=300181). Se siete autori di una di queste estensioni, vi preghiamo di rilasciare un aggiornamento per il vostro add-on che utilizzi il packaging .jar". Ulteriori dettagli sono disponibili nelle entry BugZilla 413250 (https://bugzilla.mozilla.org/show_bug.cgi?id=413250) e Bugzilla 413251 (https://bugzilla.mozilla.org/show_bug.cgi?id=413451).

Contestualmente segnaliamo che Mozilla ha completato (http://groups.google.com/group/mozilla.dev.planning/browse_thread/thread/d948f265d2998522#fe0f40087d601a04) ieri il "freeze" del codice di Firefox Beta 3, che dovrebbe, salvo inconvenienti, vedere la luce in forma di release candidate durante questa settimana. Mozilla ha anche stabilito il rilascio di una quarta beta di Firefox 3, che dovrebbe essere rilasciata dopo breve tempo da Beta 3. Ulteriori dettagli sul newgroup dedicato mozilla.dev.planning (http://groups.google.com/group/mozilla.dev.planning).


Link per approfondimenti:

Mozilla Security Blog (http://blog.mozilla.com/security/2008/01/29/status-update-for-chrome-protocol-directory-traversal-issue/)
Bugzilla 413251 (https://bugzilla.mozilla.org/show_bug.cgi?id=413451)
Lista estensioni "flat" (https://bugzilla.mozilla.org/attachment.cgi?id=300181)



Fonte: Varie via Tweakness (http://www.tweakness.net/index.php?topic=4327)