BlogZilla

Gli sviluppatori di Mozilla hanno disattivato il plugin Firefox che Microsoft distribuiva con Windows Update dicendo che presenta un rischio di sicurezza. L’annuncio viene dato in persona anche da Mike Shaver (Vice Presidente Engineering).

A meno di 48 ore di distanza dal rilascio, la scorsa settimana, di Firefox 3.5.1, due esperti di sicurezza hanno scoperto una nuova vulnerabilità nell’ultima versione del celebre browser open source. Sebbene della falla esista già un exploit dimostrativo, Mozilla ha sottolineato che questa non può essere sfruttata per eseguire del codice a distanza.

“Alcune testate giornalistiche e software house dedicate alla sicurezza hanno erroneamente riportato che questo è un bug che può essere sfruttato (da un aggressore, NdR). Le nostre analisi indicano che non è così, ed infatti non abbiamo visto alcun esempio di codice d’attacco in giro”, ha commentato in questo post Mike Shaver, dirigente di Mozilla. Shaver ha poi tuttavia ammesso, in un aggiornamento al proprio post, che sotto Windows l’attuale exploit proof of concept causa il crash di Firefox 3.5.x, “almeno per certi utenti”.

Dopo la segnalazione di Shaver, sia il National Vulnerability Database che SecurityFocus hanno precisato nei rispettivi advisory che la vulnerabilità può essere utilizzata per attacchi di denial-of-service ma non per l’esecuzione di codice a distanza. Il problema appare dunque meno grave rispetto a quelli corretti la scorsa settimana in Firefox 3.5.0: ciò consentirà probabilmente a Mozilla di sviluppare una patch con meno urgenza.

Shaver ha infine spiegato che il bug interessa anche le versioni Linux e Mac di Firefox 3.5.x, ma in ciascuna piattaforma il problema si verifica all’interno di un componente diverso: la libreria di sistema ATSUI in Mac OS X e nelle librerie pango, glib o libc in Linux. Il livello di gravità, secondo il dirigente, rimarrebbe comunque invariato per tutti i sistemi operativi.

All’incirca nelle stesse ore in cui sono emerse le prime notizie relative alla falla di Firefox 3.5.1, Google ha rilasciato un aggiornamento di sicurezza per la versione stabile di Chrome, la 2.0. Entrambi i bug interessano l’application framework open source WebKit alla base di Chrome, e secondo Google possono essere sfruttati da un aggressore per eseguire del codice a distanza. Maggiori dettagli si trovano in questo advisory.

Fonte: Punto Informatico

Lo scorso anno Firefox è stato colpito da un maggior numero di vulnerabilità rispetto ad Internet Explorer e agli altri suoi principali concorrenti, ma Mozilla è stata mediamente la più tempestiva a correggere le falle. A sostenerlo è la celebre società di sicurezza danese Secunia, che ha pubblicato questo rapporto (in PDF).

Secondo Secunia, di tutte le falle che nel 2008 hanno interessato i browser, 115 erano contenute nel codice di Firefox, 31 in quello di IE, 32 in Safari e 30 in Opera. Ne consegue che nel famoso browser open source è stato stuccato un numero di falle quasi quattro volte superiore a quello di IE, e maggiore di quello di IE, Opera e Safari messi insieme.

Come sempre accade quando si confrontano questi dati, però, c’è sempre da considerare che non tutte le vulnerabilità hanno lo stesso livello di serietà e la stessa portata. Andrebbe poi tenuto conto di quali, tra queste debolezze, siano state effettivamente sfruttate da cracker e virus writer.

Pur con tutte le considerazioni del caso, e ammesso che i conteggi di Secunia siano esatti, le proporzioni non rendono certo onore a Mozilla. Quest’ultima si riscatta tuttavia nella fase di correzione dei bug, dove il team di sviluppo del Panda Rosso sembra vantare il più elevato tempismo: 43 giorni di media contro i 110 giorni di Microsoft. Per arrivare a questi numeri Secunia ha preso in considerazione il tempo trascorso tra il momento in cui le falle sono diventate di pubblico dominio e il tempo in cui è stata rilasciata la patch al grande pubblico.

Proprio in questi giorni preoccupa e fa discutere una presunta vulnerabilità di Firefox, IE e potenzialmente anche di altri browser, sfruttata da truffatori per pubblicare false aste di eBay. “Presunta”, perché c’è chi ritiene si tratti in realtà di una funzionalità, sfruttata ora per fini illeciti.

Fonte: Punto Informatico

Aggiornamento (09/10/07 01:00)

Barbara mi segnala nei commenti un problema alquanto strano:

Ciao Gianni, ho installato questa estensione che sembra veramente utile mi è capitato l’altro giorno un problema con Gmail ossia un’email di spam inviata dal mio account Gmail a parte dei miei contatti ( tale email l’ho trovata tra l’altro anche nelle sent email). Inizialmente ho pensato potesse essere un problema di Firefox + Gmail ma leggendo in giro l’ultima versione di Firefox mi dicono abbia risolto le vulnerabilità JAR? Ho scritto all’assistenza Gmail e mi hanno semplicemente suggerito di cambiare password … come può capitare una cosa del genere ( una settimana fa era capitata anche ad un amico, la stessa identica cosa) Scusa se ti rompo in OFF TOPIC ma tu sei un esperto ho letto di recente anche un articolo su internet magazine che parlava di quest’argomento (sicurezza Gmail) se non erro magari mi sai illuminare un pò, grazie mille e scusa dell’off topic

Dalla versione 2.0.0.10 in su il problema del protocollo jar è stato risolto e il bug dell’inoltro automatico che permetteva di creare una backdoor in Gmail è stato tappato quasi immediatamente. Quest’ultimo ha poco a che vedere con l’invio di email spam, è comunque consigliato dare un’occhiata alle impostazioni del filtro e assicurarsi che sia tutto ok.

Cosa può aver causato il problema? Generalmente le ipotesi sono 2:

1) Una vulnerabilità in Gmail non ancora resa nota (0-day).
2) Lo spammer è entrato in possesso dell’account Gmail a causa di una password debole.

La seconda è meno probabile. Se i messaggi spam sono stati inviati solo alla lista contatti si evince che l’operazione non è stata eseguita manualmente ma è frutto di uno script.

Navigare con XSS Warning attivo può aiutare a bloccare l’azione di eventuali script pericolosi.

Sarebbe interessante capire cosa è stato inviato, a quante persone (casuali o una lista sequenziale?) e con quale frequenza, oppure si tratta di una singola email inviata a più persone?

Aggiornamento (09/10/07 01:00):

Anche qualche utente Yahoo! in questi giorni lamenta un problema simile (accenna a una presunta manomissione delle credenziali).

Il messaggio spam è di questi giorni. Su ebay se ne trovano tantissimi, tutti dello stesso tipo, ne parlano su questo forum, altri su Yahoo! Gruppi.
Questo ad esempio è stato cancellato ma è ancora visibile dalla Cache di Google, lo stesso messaggio inviato dalla posta di Barbara.

I siti sui quali viene pubblicizzata la vendita dei prodotti sono stati registrati in Cina nel mese di ottobre.

di Gianni Amato, via GianniAmato.it

Mozilla Firefox ha integrato al suo interno un Password Manager per ricordare username e password con cui effettuiamo il login nei principali portali o servizi a cui ci siamo iscritti. Maggior sicurezza si ha settando una password principale, se il nostro PC fosse preda di estranei i nostri username e pwd rimangono al sicuro, il malintenzionato dovrà prima conoscere la password principale dopodichè avrà eventualmente strada libera.

Può capitare che ci dimenticassimo la password principale, in tal caso ci viene in aiuto Firemaster, un utility eseguibile da prompt dei comandi che aiuta nel recupero della password attraverso diverse tecniche come ad es. il brute force.

Il file di Firefox che ci interessa è è key3.db, prima di procedere andiamo in Pannello di Controllo, selezioniamo Opzioni Cartella – Visualizzazione e accertiamoci che vi sia il segno di spunta sopra Visualizzazione Cartelle e files nascosti dopodichè rechiamoci in
C:\Users\NomeUtente\AppData\Roaming\Mozilla\Firefox\Profiles\xxxx.default

(note: Nome Utente è il nome con cui abbiamo effettuato il login in Windows VIsta mentre xxxx.default è un numero generato a caso da Firefox che varia ad ogni utente) dove troveremo il file key3.db che posizioneremo all’interno della cartella Firemaster. Non rimane che utilizzare uno degli esempi per cercare di recuperare la propria PWD:

/ Tramite Dizionario
Firemaster -q -d -f dictfile.txt firefox_profile_dir

// Metodo Ibrido
Firemaster -q -h -f dictfile.txt -c 3 -l “123″ firefox_profile_dir

// Brute Force
Firemaster -q -b -n 6 -a “abc123″ firefox_profile_dir

// Tramite Dizionario seguito da Brute Force
Firemaster -q -d -f dictfile.txt -b -n 6 firefox_profile_dir

// Metodo Ibrido seguito da Brute Force
Firemaster -q -h -f dictfile.txt -c 3 -l “123″ -b -n 6 -a “abc123″ firefox_profile_dir

Sperando nessuno si trovi ad utilizzare questa utility a riga di comando si raccomanda di effettuare sempre una copia in un cdrom delle proprie pwd, ancor meglio sarebbe dotarsi di un’ulteriore copia del file txt in una penna usb. Si sconsigliano tutti quei servizi che consentono d’andare a memorizzare online le proprie pwd, se è facile dimenticare le pwd locali, ancor più semplice è dimenticarsi quelle online …

Firemaster Download

di Francesco Esposito, via Italia SW

Dopo 8 versioni alfa è finalmente disponibile il download della prima versione beta di Mozilla Firefox 3, nome in codice Gran Paradiso. La versione beta è disponibile sia per Windows che per Mac Os X e Linux in oltre 20 lingue diverse, tra cui però non compare l’italiano.

Link per il download:
Firefox 3.0b1 per Windows
Firefox 3.0b1 per Linux
Firefox 3.0b1 per Mac Os X

Le novità per quanto riguarda la sicurezza:

• sarà molto più facile avere dettagli e informazioni sui siti nei quali si naviga, a volte anche grazie ad un semplice click sulla favicon nella barra degli indirizzi;
• una migliore protezione dai malware;
• nuove pagine di errore per SSL, con messaggi chiari e semplici;
• verifica delle versioni per add-on e plugin, che permetterà a Firefox di disabilitare in automatico versioni ritenute poco sicure;
• integrazione con un antivirus che effettuerà scansioni su file eseguibili.

Le novità per quanto riguarda l’usabilità:

• un semplice gestore delle password, per la memorizzazione delle stesse;
• un semplice tool per l’installazione degli add-on;
• un nuovo gestore dei download, che permetterà di riprendere i trasferimenti interrotti dopo la chiusura del browser o una perdita di connessione ad Internet;
• possibilità di salvare i tab al momento della chiusura del browser;
• tool per zoomare determinate aree della pagina, immagini o ridimensionare il testo.

di Valentino Marangi, via Valentino Marangi blog