c.m.g
12-02-2008, 15:01
11 febbraio 2008 alle 22.03
http://www.tweakness.net/imgarchive/firefox_falla2.jpg
Ronald van den Heetkamp ha reso pubblico (http://www.0x000000.com/index.php?i=516) giorni fa sul suo blog "The Hacker Webzine (http://www.0x000000.com/index.php?i=517)" un bug che affligge tutte le versioni del popolare browser Firefox, compresa l'ultima release 2.0.0.12 (http://www.tweakness.net/topic.php?id=4343). La vulnerabilità permette ad un eventuale attacker tramite un sito nocivo programmato per lo scopo di accedere in lettura ad i file contenuti nella cartella di installazione di Firefox (per esempio C:\Programmi\Mozilla Firefox). van den Heetkampo ha pubblicato anche un semplice PoC (@MozillaLinks) che si occupa di mostrare il file allprefs.js presente nel computer con Firefox installato.
Questa disclosure (http://www.0x000000.com/index.php?i=516) è stata inizialmente ed erroneamente associata (http://it.slashdot.org/article.pl?sid=08/02/09/2215205) al precedente problema di "directory traversals" corretto da Mozilla con il rilascio di Firefox 2.0.0.12 (http://www.tweakness.net/topic.php?id=4343). Il problema, come spiega lo stesso van den Heetkampo, in un più recente intervento sul suo blog (http://www.0x000000.com/index.php?i=517), è limitato invece ad un bug di "information leak" che non permette (per il momento) di accedere a dati personali presenti sul computer dell'utente.
Mike Shaver di Mozilla spiega sul suo blog (http://shaver.off.net/diary/2008/02/10/view-sourceresource-vulnerability-does-not-expose-personal-information/): "I file per i quali Ronald ha dimostrato la possibilità di accesso non includono le impostazioni dell'utente … i dati utente sono conservati nella gerarchia Program Files su Windows, o nella location equivalente su altri sistemi operativi. Al contrario, i file di preferenze che ha mostrato nel suo exploit sono quelli predefiniti rilasciati con Firefox, e resi liberamente disponibili sul web. Di nuovo, non sono le impostazioni dell'utente … e non includono alcuna informazioni personale". Secondo Asa Dotzler (http://weblogs.mozillazine.org/asa/archives/2008/02/its_not_a_bug.html) di Mozilla, questo problemanon può neanche essere definito un bug.
Mozilla Links commenta (http://mozillalinks.org/wp/2008/02/sort-of-firefox-resource-vulnerability/): "Sebbene il bug sa reale, nel senso che Firefox fa qualcosa di non previsto, è difficile dire se questo possa essere realmente chiamato una vulnerabilità di sicurezza dato che nessun dato personale viene conservato nella cartella di installazione, e la cartella del profilo ha un nome unico e random per ciascuna installazione e profilo di Firefox. Inoltre, il protocollo resource: su cui si basa questa vulnerabilità non permette il directory traversal a partire dalla versione 2.0.0.4, quindi è impossibile accedere a file in cartelle simili o in gerarchia precedente".
Bisogna inoltre evidenziare che questo bug è stato inizialmente svelato a Maggio 2007 (http://ha.ckers.org/blog/20070516/read-firefox-settings-poc/) e discusso sul blog ha.ckers.org.
Nel suo ultimo intervento sull'argomento van den Heetkamp spiega che il protocollo resource: permette di eseguire il "traversing" (http://www.0x000000.com/index.php?i=422) dalla cartella di Firefox alla cartella Programmi, ma attualmente questo non permette di eseguire alcun attacco. Secondo van den Heetkamp, il problema da lui evidenziato, se non corretto, potrebbe diventare critico dal punto di vista della sicurezza in futuro, quando eventuali attacker potrebbero scoprire e sfruttare altre vulnerabilità in combinazione con questo bug. Secondo van den Heetkamp, un browser non dovrebbe mai consentire la navigazione remota del computer locale.
Link di approfondimento:
The Hacker Webzine (http://www.0x000000.com/index.php?i=517)
Commento di Shaver (http://shaver.off.net/diary/2008/02/10/view-sourceresource-vulnerability-does-not-expose-personal-information/)
Commento @ Mozilla Links (http://mozillalinks.org/wp/2008/02/sort-of-firefox-resource-vulnerability/)
Fonti: varie via Tweakness
http://www.tweakness.net/imgarchive/firefox_falla2.jpg
Ronald van den Heetkamp ha reso pubblico (http://www.0x000000.com/index.php?i=516) giorni fa sul suo blog "The Hacker Webzine (http://www.0x000000.com/index.php?i=517)" un bug che affligge tutte le versioni del popolare browser Firefox, compresa l'ultima release 2.0.0.12 (http://www.tweakness.net/topic.php?id=4343). La vulnerabilità permette ad un eventuale attacker tramite un sito nocivo programmato per lo scopo di accedere in lettura ad i file contenuti nella cartella di installazione di Firefox (per esempio C:\Programmi\Mozilla Firefox). van den Heetkampo ha pubblicato anche un semplice PoC (@MozillaLinks) che si occupa di mostrare il file allprefs.js presente nel computer con Firefox installato.
Questa disclosure (http://www.0x000000.com/index.php?i=516) è stata inizialmente ed erroneamente associata (http://it.slashdot.org/article.pl?sid=08/02/09/2215205) al precedente problema di "directory traversals" corretto da Mozilla con il rilascio di Firefox 2.0.0.12 (http://www.tweakness.net/topic.php?id=4343). Il problema, come spiega lo stesso van den Heetkampo, in un più recente intervento sul suo blog (http://www.0x000000.com/index.php?i=517), è limitato invece ad un bug di "information leak" che non permette (per il momento) di accedere a dati personali presenti sul computer dell'utente.
Mike Shaver di Mozilla spiega sul suo blog (http://shaver.off.net/diary/2008/02/10/view-sourceresource-vulnerability-does-not-expose-personal-information/): "I file per i quali Ronald ha dimostrato la possibilità di accesso non includono le impostazioni dell'utente … i dati utente sono conservati nella gerarchia Program Files su Windows, o nella location equivalente su altri sistemi operativi. Al contrario, i file di preferenze che ha mostrato nel suo exploit sono quelli predefiniti rilasciati con Firefox, e resi liberamente disponibili sul web. Di nuovo, non sono le impostazioni dell'utente … e non includono alcuna informazioni personale". Secondo Asa Dotzler (http://weblogs.mozillazine.org/asa/archives/2008/02/its_not_a_bug.html) di Mozilla, questo problemanon può neanche essere definito un bug.
Mozilla Links commenta (http://mozillalinks.org/wp/2008/02/sort-of-firefox-resource-vulnerability/): "Sebbene il bug sa reale, nel senso che Firefox fa qualcosa di non previsto, è difficile dire se questo possa essere realmente chiamato una vulnerabilità di sicurezza dato che nessun dato personale viene conservato nella cartella di installazione, e la cartella del profilo ha un nome unico e random per ciascuna installazione e profilo di Firefox. Inoltre, il protocollo resource: su cui si basa questa vulnerabilità non permette il directory traversal a partire dalla versione 2.0.0.4, quindi è impossibile accedere a file in cartelle simili o in gerarchia precedente".
Bisogna inoltre evidenziare che questo bug è stato inizialmente svelato a Maggio 2007 (http://ha.ckers.org/blog/20070516/read-firefox-settings-poc/) e discusso sul blog ha.ckers.org.
Nel suo ultimo intervento sull'argomento van den Heetkamp spiega che il protocollo resource: permette di eseguire il "traversing" (http://www.0x000000.com/index.php?i=422) dalla cartella di Firefox alla cartella Programmi, ma attualmente questo non permette di eseguire alcun attacco. Secondo van den Heetkamp, il problema da lui evidenziato, se non corretto, potrebbe diventare critico dal punto di vista della sicurezza in futuro, quando eventuali attacker potrebbero scoprire e sfruttare altre vulnerabilità in combinazione con questo bug. Secondo van den Heetkamp, un browser non dovrebbe mai consentire la navigazione remota del computer locale.
Link di approfondimento:
The Hacker Webzine (http://www.0x000000.com/index.php?i=517)
Commento di Shaver (http://shaver.off.net/diary/2008/02/10/view-sourceresource-vulnerability-does-not-expose-personal-information/)
Commento @ Mozilla Links (http://mozillalinks.org/wp/2008/02/sort-of-firefox-resource-vulnerability/)
Fonti: varie via Tweakness