Mozilla conferma una vulnerabilità in Firefox

Mozilla conferma una vulnerabilità in Firefox

In Firefox è presente una falla che potrebbe essere sfruttata per reperire informazioni sulle applicazioni installate nel sistema. Al momento il team di Mozilla sta studiando il problema

di pubblicata il , alle 13:28 nel canale Sicurezza
FirefoxMozilla
 

Window Snyder, Security Chief di Mozilla, ha confermato l'esistenza di una vulnerabilità in Firefox che potrebbe essere sfruttata da malintenzionati per carpire informazioni sul sistema. La falla risiederebbe nel protocollo chrome, utilizzato da Firefox per la gestione degli add-on e dell'interfaccia.

Secondo quanto riportato sul blog di Snyder, sfruttando il particolare sistema di gestione degli add-on, è possibile andare a leggere il nome dei file presenti in una determinata locazione del disco. La tecnica potrebbe essere utilizzata dagli attacker per verificare la presenza di un determinato file e, conseguentemente, fornire importanti informazioni su quali software sono installati sulla macchina. Queste informazioni possono essere poi utilizzate per stabilire quale tipo di attacco utilizzare per violare il sistema.

La falla è stata dichiarata di grado normal ed è presente anche nelle ultime versioni di Firefox, indipendentemente dal sistema operativo utilizzato. Non tutti gli utenti sono a rischio: il bug è sfruttabile solamente se nel browser sono installati add-on flat come ad esempio Greasemonkey o la Download Statusbar. Finora non risulta che vulnerabilità sia stata in qualche modo sfruttata, ma è già stato presentato un Proof of Concept di codice che mostra il funzionamento di un possibile exploit.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

41 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
MaxArt24 Gennaio 2008, 13:42 #1
Beh, non è certo la prima volta che FF ha una vulnerabilità, e questa manco mi pare delle peggiori, tanto da meritarsi una news

Ma come fa uno a chiamarsi WINDOW?
matteo124 Gennaio 2008, 13:52 #2
che cosa sono i flat addon?
Sono le tutte estensioni o solo alcune?
Adblock e Noscript possono proteggere,o sono anch'essi addon flat?
D3stroyer24 Gennaio 2008, 14:00 #3
si ma perchè quando c'è una falla tutti vanno a pubblicizzarla? Ma fatelo DOPO che l'hanno corretta, no? Poi ci si lamenta che si viene attaccati da ip sconosciuti..
renaulto24 Gennaio 2008, 14:27 #4
Originariamente inviato da: D3stroyer
si ma perchè quando c'è una falla tutti vanno a pubblicizzarla? Ma fatelo DOPO che l'hanno corretta, no? Poi ci si lamenta che si viene attaccati da ip sconosciuti..
Perchè secondo i sostenitori della full disclosure, la divulgazione delle vulnerabilità fa più bene che male. In particolare, storicamente, l'esigenza è nata per contrastare l'abitudine dei produttori di software di nascondere le vulnerabilità senza risolverle.
gianni187924 Gennaio 2008, 14:40 #5
per fortuna uso Opera
hurtle24 Gennaio 2008, 14:53 #6
concordo con la full disclosure, ma visto che a quanto pare la vulnerabilità è stata scoperta da loro prima che da qualche malintenzionato.... potevano semplicemente dire che è stata scoperta una vulnerabilità generica, almeno finchè non la si risolve...


"Ma come fa uno a chiamarsi WINDOW?" haha
TheMonzOne24 Gennaio 2008, 14:56 #7
Originariamente inviato da: D3stroyer
si ma perchè quando c'è una falla tutti vanno a pubblicizzarla? Ma fatelo DOPO che l'hanno corretta, no? Poi ci si lamenta che si viene attaccati da ip sconosciuti..


Ehm...forse perchè almeno se hai installato tali add-ons li puoi togliere ed evitare di essere attaccato finchè non risolvono il bug? Oppure se non li hai installati di avvisano che è meglio non farlo...
Rand24 Gennaio 2008, 14:59 #8
Originariamente inviato da: hurtle
concordo con la full disclosure, ma visto che a quanto pare la vulnerabilità è stata scoperta da loro prima che da qualche malintenzionato.... potevano semplicemente dire che è stata scoperta una vulnerabilità generica, almeno finchè non la si risolve...


"Ma come fa uno a chiamarsi WINDOW?" haha


Mozilla ha una policy per le vulnerabilità che vengono riportate/scoperte: vengono rese pubbliche dopo un certo tempo fisso(credo 1 settimana, ma dovrei controllare). Così gli sviluppatori hanno il tempo di controllarne la gravità e prendere provvedimenti urgenti nel caso di vulnerabilità critiche.

Poi uno può rilasciarla pubblicamente invece che in via riservata su bugzilla, ma perde i 500 $ e la maglietta .

Window Snyder prima lavorava in Microsoft ed è stata "security lead" di Microsoft Windows XP Service Pack 2 and Windows Server 2003
xxxyyy24 Gennaio 2008, 15:12 #9
Sarebbe utile avere una lista di questi add-on flat. Qualcuno me la indicherebbe gentilmente?
Grazie!
Cimmo24 Gennaio 2008, 15:20 #10
download statusbar 0.9.5.3 rattoppa per il momento... non e' una soluzione finale, ma nell'attesa va bene.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^