Ieri Mozilla ha confermato il nuovo problema di sicurezza che affligge gli utenti di Firefox che hanno installato il media player Apple QuickTime, come abbiamo segnalato in un news precedente. La vulnerabilità era sta scoperta già da tempo da Petko D. Petkov, il ricercatore che ha svelato dettagli e proof of concept sulla falla due giorni fa. Mozilla ha confermato che il problema di sicurezza permette ad un eventuale attacker di eseguire codice arbitrario sul sistema attaccato.
Da Mozilla Security Blog: "Se Firefox è impostato come browser di default, quando un utente riproduce un file multimediale malizioso gestito da QuickTime, l’attacker può sfruttare una vulnerabilità presente in QuickTime per compromettere Firefox o la macchina locale. Questo può verificarsi durante la navigazione o mentre si tenta di aprire un file multimediale modificato direttamente in QuickTime.".
Come detto, Petkov, security analyst del gruppo open-source GNUCitizen, ha reso disponibile pubblicamente il codice proof of concept in grado di sfruttare la vulnerabilità. Secondo Mozilla, questo codice può essere facilmente convertito in un codice exploit più pericoloso, quindi gli utenti devono considerare la problematica come un problema molto serio. Mozilla sta attualmente lavorando con Apple per realizzare una soluzione in grado di proteggere gli utenti, e sta cercando modi per mitigare il rischio derivante dal bug in maniera più ampia su Firefox. È possibile seguire il lavoro degli sviluppatori sul problema nella entry di BugZilla 395942.
Finora dall’analisi della problematica è emerso che QuickTime effettua un chiamata diretta al browser identificato come predefinito nel sistema, invece di utilizzare una API di Windows, cosa che impedirebbe un tentativo di attacco come questo. Pur collaborando con Apple, Mozilla sta valutando individualmente di intervenire sul codice del suo browser per limitare la portata del parametro di linea di comando –chrome ai soli URL interni come chrome:// e resource://; oppure eventualmente eliminare il comando interamente. Il parametro -chrome tuttavia permette di avviare Firefox con una differente interfaccia utente predefinita. Questo parametro offre grande flessibilità e opzioni, che permettono per esempio di eseguire ChatZilla o FireFTP come applicazioni "stand alone". Ricordiamo che il prossimo aggiornamento di sicurezza e stabilità per Firefox, 2.0.0.7, è previsto per inizio Ottobre.
Secondo i test individuali effettuati da BetaNews utilizzando porzioni del codice PoC di Petkov ed anche varianti originali del codice exploit, su Windows XP è stato possibile eseguire codice non autorizzato tramite una istanza code-generated di Firefox, nel caso QuickTime gestisca il tipo file del "falso file" in questione. Come detto l’exploit funziona solo se Firefox è impostato come browser di default, e non quando il browser predefinito è Internet Explorer. Tuttavia, evidenzia BetaNews, quando Firefox è il browser predefinito, l’exploit funziona comunque anche se è IE7 a contenere il link "embedded". Questo significa che un utente potrebbe anche star visualizzando una pagina web con IE7, ma cliccando sul link al falso file, QuickTime si eseguirebbe e richiamerebbe un’istanza di Firefox, dalla quale sarebbe possibile eseguire payload nocivo. L’exploit tuttavia non funziona se Windows Media Player è il gestore del tipo file utilizzato per l’attacco.
Per quanto riguarda Windows Vista, i test hanno mostrato che l’exploit non ha successo neanche se Firefox è impostato come browser di default. In tutti i casi Vista genera un messaggio di errore in cui avverte di non trovare l’elemento in questione, e quindi svela il contenuto dell’elemento (il codice potenzialmente nocivo). Secondo un membro di GNUCitizen l’exploit potrebbe funzionare anche su Mac OS X, quando Firefox, e non Safari, è settato come browser di default.
Fonte: Tweakness.net