Da alcuni giorni si parla in rete di un nuovo problema di sicurezza critico che coinvolge la gestione del protocollo "jar:" da parte del browser Firefox sfruttabile da utenti malintenzionati per condurre attacchi di "cross site scripting" attraverso molti popolari servizi web, tra cui Google Gmail.

La vulnerabilità è stata portata alla luce da Petko D. Petkov, security analyst del gruppo open-source GNUCitizen, più di 10 giorni fa. L’analisi della problematica ha coinvolto successivamente anche altri popolari ricercatori di sicurezza, come Michal Zalewski e Aviv Raff. Bisogna tuttavia evidenziare che sul database di bug tracking di Mozilla il bug principale legato alla falla era stato segnalato da Jesse Ruderman già a Febbraio scorso (Bug 369814).

Mozilla ha confermato l’esistenza della problematica tramite il blog ufficiale Mozilla Security. Secondo l’azienda il problema di sicurezza è legato al fatto che il protocollo jar: non viene ristretto agli archivi java e può essere utilizzato per aprire qualsiasi tipo di formato file ZIP. Un attacker può quindi sfruttare questo bug per evadere il filtering dei siti che permettono agli utenti di caricare contenuti e ed utilizzare questi per lanciare un attacco di cross site scripting. Una descrizione dettagliata degli attacchi è stat pubblicata da Petkov in un ultimo intervento dedicato al problema.

Da Mozilla Security: "Firefox supporta lo schema Java Archive URI che permette l’ addressing dei contenuti di archivi ZIP. Un attacker potrebbe caricare un file in formato zip su un sito sicuro che permette l’upload di contenuti. La vittima clicca su un link sul sito dell’attacker, o in un messaggio di posta, che collega al contenuto caricato sul sito sicuro. Dato che il contenuto viene caricato da questo sito, il contenuto del file ZIP si esegue nel contesto del sito sicuro. Questo può permette all’attacker di accedere ad informazioni conservate sul siti sicuro senza che l’utente ne sia a conoscenza". Mozilla evidenza anche l’esistenza di una seconda problematica di sicurezza correlata (Bug 403331): se un archivio ZIP viene caricato da un sito tramite un redirect, Firefox utilizza il contesto del sito di partenza. Questo bug permette ad un attacker di sfruttare siti con "open redirect" per hostare contenuti sui propri siti nocivi ed eseguirli con i permessi del sito di redirecting.

Bisogna evidenziare che in rete è stato pubblicato un proof of concept che dimostra l’exploit di entrambe le problematiche in un attacco contro il popolare servizio di webmail Gmail. Il PoC permette all’attacker di accedere ai contatti salvati sull’account della vittima.
Mozilla ha affermato il bug relativo al "contesto di sicurezza" sarà corretto nella release Firefox 2.0.0.10, attualmente in testing(nel caso di reindirizzamenti, sarà considerato il sito web finale come quello di origine). Nelle future versioni di Firefox inoltre sarà supportato lo schema JAR solo per i file che vengono distribuiti con il corretto MIME type "application/java-archive". Considerata la disponibilità pubblica di un codice PoC, è probabile che anche Google interverrà presto per bloccare questo tipo di attacchi sui propri servizi web (eliminando i problemi di open redirecting).
Ricordiamo che gli utenti possono proteggersi da questi e da molti altri simili attacchi utilizzando su Firefox la popolare plug-in NoScript. Come spiegato da Giorgio Maone, autore della potente estensione, NoScript è in grado di impedire alle risorse remote JAR di essere caricate come documenti, neutralizzando tentativi di attacco XSS tramite il protocollo jar: protocol (maggiori dettagli nella FAQ).

di Netquik, via Tweakness

Permalink Commenta