“Alcune testate giornalistiche e software house dedicate alla sicurezza hanno erroneamente riportato che questo è un bug che può essere sfruttato (da un aggressore, NdR). Le nostre analisi indicano che non è così, ed infatti non abbiamo visto alcun esempio di codice d’attacco in giro”, ha commentato in questo post Mike Shaver, dirigente di Mozilla. Shaver ha poi tuttavia ammesso, in un aggiornamento al proprio post, che sotto Windows l’attuale exploit proof of concept causa il crash di Firefox 3.5.x, “almeno per certi utenti”.

Dopo la segnalazione di Shaver, sia il National Vulnerability Database che SecurityFocus hanno precisato nei rispettivi advisory che la vulnerabilità può essere utilizzata per attacchi di denial-of-service ma non per l’esecuzione di codice a distanza. Il problema appare dunque meno grave rispetto a quelli corretti la scorsa settimana in Firefox 3.5.0: ciò consentirà probabilmente a Mozilla di sviluppare una patch con meno urgenza.

Shaver ha infine spiegato che il bug interessa anche le versioni Linux e Mac di Firefox 3.5.x, ma in ciascuna piattaforma il problema si verifica all’interno di un componente diverso: la libreria di sistema ATSUI in Mac OS X e nelle librerie pango, glib o libc in Linux. Il livello di gravità, secondo il dirigente, rimarrebbe comunque invariato per tutti i sistemi operativi.

All’incirca nelle stesse ore in cui sono emerse le prime notizie relative alla falla di Firefox 3.5.1, Google ha rilasciato un aggiornamento di sicurezza per la versione stabile di Chrome, la 2.0. Entrambi i bug interessano l’application framework open source WebKit alla base di Chrome, e secondo Google possono essere sfruttati da un aggressore per eseguire del codice a distanza. Maggiori dettagli si trovano in questo advisory.

Fonte: Punto Informatico

Secondo Secunia, di tutte le falle che nel 2008 hanno interessato i browser, 115 erano contenute nel codice di Firefox, 31 in quello di IE, 32 in Safari e 30 in Opera. Ne consegue che nel famoso browser open source è stato stuccato un numero di falle quasi quattro volte superiore a quello di IE, e maggiore di quello di IE, Opera e Safari messi insieme.

Come sempre accade quando si confrontano questi dati, però, c’è sempre da considerare che non tutte le vulnerabilità hanno lo stesso livello di serietà e la stessa portata. Andrebbe poi tenuto conto di quali, tra queste debolezze, siano state effettivamente sfruttate da cracker e virus writer.

Pur con tutte le considerazioni del caso, e ammesso che i conteggi di Secunia siano esatti, le proporzioni non rendono certo onore a Mozilla. Quest’ultima si riscatta tuttavia nella fase di correzione dei bug, dove il team di sviluppo del Panda Rosso sembra vantare il più elevato tempismo: 43 giorni di media contro i 110 giorni di Microsoft. Per arrivare a questi numeri Secunia ha preso in considerazione il tempo trascorso tra il momento in cui le falle sono diventate di pubblico dominio e il tempo in cui è stata rilasciata la patch al grande pubblico.

Proprio in questi giorni preoccupa e fa discutere una presunta vulnerabilità di Firefox, IE e potenzialmente anche di altri browser, sfruttata da truffatori per pubblicare false aste di eBay. “Presunta”, perché c’è chi ritiene si tratti in realtà di una funzionalità, sfruttata ora per fini illeciti.

Fonte: Punto Informatico

Barbara mi segnala nei commenti un problema alquanto strano:

Ciao Gianni, ho installato questa estensione che sembra veramente utile mi è capitato l’altro giorno un problema con Gmail ossia un’email di spam inviata dal mio account Gmail a parte dei miei contatti ( tale email l’ho trovata tra l’altro anche nelle sent email). Inizialmente ho pensato potesse essere un problema di Firefox + Gmail ma leggendo in giro l’ultima versione di Firefox mi dicono abbia risolto le vulnerabilità JAR? Ho scritto all’assistenza Gmail e mi hanno semplicemente suggerito di cambiare password … come può capitare una cosa del genere ( una settimana fa era capitata anche ad un amico, la stessa identica cosa) Scusa se ti rompo in OFF TOPIC ma tu sei un esperto ho letto di recente anche un articolo su internet magazine che parlava di quest’argomento (sicurezza Gmail) se non erro magari mi sai illuminare un pò, grazie mille e scusa dell’off topic

Dalla versione 2.0.0.10 in su il problema del protocollo jar è stato risolto e il bug dell’inoltro automatico che permetteva di creare una backdoor in Gmail è stato tappato quasi immediatamente. Quest’ultimo ha poco a che vedere con l’invio di email spam, è comunque consigliato dare un’occhiata alle impostazioni del filtro e assicurarsi che sia tutto ok.

Cosa può aver causato il problema? Generalmente le ipotesi sono 2:

1) Una vulnerabilità in Gmail non ancora resa nota (0-day).
2) Lo spammer è entrato in possesso dell’account Gmail a causa di una password debole.

La seconda è meno probabile. Se i messaggi spam sono stati inviati solo alla lista contatti si evince che l’operazione non è stata eseguita manualmente ma è frutto di uno script.

Navigare con XSS Warning attivo può aiutare a bloccare l’azione di eventuali script pericolosi.

Sarebbe interessante capire cosa è stato inviato, a quante persone (casuali o una lista sequenziale?) e con quale frequenza, oppure si tratta di una singola email inviata a più persone?

Aggiornamento (09/10/07 01:00):

Anche qualche utente Yahoo! in questi giorni lamenta un problema simile (accenna a una presunta manomissione delle credenziali).

Il messaggio spam è di questi giorni. Su ebay se ne trovano tantissimi, tutti dello stesso tipo, ne parlano su questo forum, altri su Yahoo! Gruppi.
Questo ad esempio è stato cancellato ma è ancora visibile dalla Cache di Google, lo stesso messaggio inviato dalla posta di Barbara.

I siti sui quali viene pubblicizzata la vendita dei prodotti sono stati registrati in Cina nel mese di ottobre.

di Gianni Amato, via GianniAmato.it

Può capitare che ci dimenticassimo la password principale, in tal caso ci viene in aiuto Firemaster, un utility eseguibile da prompt dei comandi che aiuta nel recupero della password attraverso diverse tecniche come ad es. il brute force.

Il file di Firefox che ci interessa è è key3.db, prima di procedere andiamo in Pannello di Controllo, selezioniamo Opzioni Cartella – Visualizzazione e accertiamoci che vi sia il segno di spunta sopra Visualizzazione Cartelle e files nascosti dopodichè rechiamoci in
C:\Users\NomeUtente\AppData\Roaming\Mozilla\Firefox\Profiles\xxxx.default

(note: Nome Utente è il nome con cui abbiamo effettuato il login in Windows VIsta mentre xxxx.default è un numero generato a caso da Firefox che varia ad ogni utente) dove troveremo il file key3.db che posizioneremo all’interno della cartella Firemaster. Non rimane che utilizzare uno degli esempi per cercare di recuperare la propria PWD:

/ Tramite Dizionario
Firemaster -q -d -f dictfile.txt firefox_profile_dir

// Metodo Ibrido
Firemaster -q -h -f dictfile.txt -c 3 -l “123″ firefox_profile_dir

// Brute Force
Firemaster -q -b -n 6 -a “abc123″ firefox_profile_dir

// Tramite Dizionario seguito da Brute Force
Firemaster -q -d -f dictfile.txt -b -n 6 firefox_profile_dir

// Metodo Ibrido seguito da Brute Force
Firemaster -q -h -f dictfile.txt -c 3 -l “123″ -b -n 6 -a “abc123″ firefox_profile_dir

Sperando nessuno si trovi ad utilizzare questa utility a riga di comando si raccomanda di effettuare sempre una copia in un cdrom delle proprie pwd, ancor meglio sarebbe dotarsi di un’ulteriore copia del file txt in una penna usb. Si sconsigliano tutti quei servizi che consentono d’andare a memorizzare online le proprie pwd, se è facile dimenticare le pwd locali, ancor più semplice è dimenticarsi quelle online …

Firemaster Download

di Francesco Esposito, via Italia SW

Dopo 8 versioni alfa è finalmente disponibile il download della prima versione beta di Mozilla Firefox 3, nome in codice Gran Paradiso. La versione beta è disponibile sia per Windows che per Mac Os X e Linux in oltre 20 lingue diverse, tra cui però non compare l’italiano.

Link per il download:
Firefox 3.0b1 per Windows
Firefox 3.0b1 per Linux
Firefox 3.0b1 per Mac Os X

Le novità per quanto riguarda la sicurezza:

• sarà molto più facile avere dettagli e informazioni sui siti nei quali si naviga, a volte anche grazie ad un semplice click sulla favicon nella barra degli indirizzi;
• una migliore protezione dai malware;
• nuove pagine di errore per SSL, con messaggi chiari e semplici;
• verifica delle versioni per add-on e plugin, che permetterà a Firefox di disabilitare in automatico versioni ritenute poco sicure;
• integrazione con un antivirus che effettuerà scansioni su file eseguibili.

Le novità per quanto riguarda l’usabilità:

• un semplice gestore delle password, per la memorizzazione delle stesse;
• un semplice tool per l’installazione degli add-on;
• un nuovo gestore dei download, che permetterà di riprendere i trasferimenti interrotti dopo la chiusura del browser o una perdita di connessione ad Internet;
• possibilità di salvare i tab al momento della chiusura del browser;
• tool per zoomare determinate aree della pagina, immagini o ridimensionare il testo.

di Valentino Marangi, via Valentino Marangi blog

La vulnerabilità è stata portata alla luce da Petko D. Petkov, security analyst del gruppo open-source GNUCitizen, più di 10 giorni fa. L’analisi della problematica ha coinvolto successivamente anche altri popolari ricercatori di sicurezza, come Michal Zalewski e Aviv Raff. Bisogna tuttavia evidenziare che sul database di bug tracking di Mozilla il bug principale legato alla falla era stato segnalato da Jesse Ruderman già a Febbraio scorso (Bug 369814).

Mozilla ha confermato l’esistenza della problematica tramite il blog ufficiale Mozilla Security. Secondo l’azienda il problema di sicurezza è legato al fatto che il protocollo jar: non viene ristretto agli archivi java e può essere utilizzato per aprire qualsiasi tipo di formato file ZIP. Un attacker può quindi sfruttare questo bug per evadere il filtering dei siti che permettono agli utenti di caricare contenuti e ed utilizzare questi per lanciare un attacco di cross site scripting. Una descrizione dettagliata degli attacchi è stat pubblicata da Petkov in un ultimo intervento dedicato al problema.

Da Mozilla Security: "Firefox supporta lo schema Java Archive URI che permette l’ addressing dei contenuti di archivi ZIP. Un attacker potrebbe caricare un file in formato zip su un sito sicuro che permette l’upload di contenuti. La vittima clicca su un link sul sito dell’attacker, o in un messaggio di posta, che collega al contenuto caricato sul sito sicuro. Dato che il contenuto viene caricato da questo sito, il contenuto del file ZIP si esegue nel contesto del sito sicuro. Questo può permette all’attacker di accedere ad informazioni conservate sul siti sicuro senza che l’utente ne sia a conoscenza". Mozilla evidenza anche l’esistenza di una seconda problematica di sicurezza correlata (Bug 403331): se un archivio ZIP viene caricato da un sito tramite un redirect, Firefox utilizza il contesto del sito di partenza. Questo bug permette ad un attacker di sfruttare siti con "open redirect" per hostare contenuti sui propri siti nocivi ed eseguirli con i permessi del sito di redirecting.

Bisogna evidenziare che in rete è stato pubblicato un proof of concept che dimostra l’exploit di entrambe le problematiche in un attacco contro il popolare servizio di webmail Gmail. Il PoC permette all’attacker di accedere ai contatti salvati sull’account della vittima.
Mozilla ha affermato il bug relativo al "contesto di sicurezza" sarà corretto nella release Firefox 2.0.0.10, attualmente in testing(nel caso di reindirizzamenti, sarà considerato il sito web finale come quello di origine). Nelle future versioni di Firefox inoltre sarà supportato lo schema JAR solo per i file che vengono distribuiti con il corretto MIME type "application/java-archive". Considerata la disponibilità pubblica di un codice PoC, è probabile che anche Google interverrà presto per bloccare questo tipo di attacchi sui propri servizi web (eliminando i problemi di open redirecting).
Ricordiamo che gli utenti possono proteggersi da questi e da molti altri simili attacchi utilizzando su Firefox la popolare plug-in NoScript. Come spiegato da Giorgio Maone, autore della potente estensione, NoScript è in grado di impedire alle risorse remote JAR di essere caricate come documenti, neutralizzando tentativi di attacco XSS tramite il protocollo jar: protocol (maggiori dettagli nella FAQ).

di Netquik, via Tweakness

La richiesta di memorizzare le password non viene più visualizzata in una finestra modale ma viene utilizzata la classica barra informativa già sfruttata per il blocco delle finestre pop-up e le richieste di installazione di plugin o estensioni.

Protezione integrata da malware: entrando in un sito sospetto (test) viene visualizzata questa pagina.

Finestra di informazioni sul sito web attualmente visualizzato, accessibile facendo clic sulla favicon

Places: attraverso la barra degli indirizzi, è possibile aggiungere un indirizzo ai Segnalibri, impostarlo come “starred” e associare dei tag.

L’impressione è che ci sia ancora parecchio da lavorare sull’interfaccia, poco intuitiva e non molto coerente: possibile che non ci sia la gestione dei tag nella finestra di gestione dei segnalibri?

Il pannello per la gestione dei feed  e la finestra Download actions sono stati integrati nel pannello Applications (con qualche problema di “taglio” su Mac Os X).

Direi che è tutto, a meno che non vogliate controllare i 1123 bug risolti rispetto alla versione Alpha 7 

di Pseudotecnico, via pseudotecnico:blog

Nello specifico all’interno della descrizione del baco, che potremmo mettere al pari del #1 di Ubuntu come importanza, viene spiegato che:

Due to lack of sex I have been unable to concentrate as much on triaging bugs since i often get distracted. This creates a large problem for Mozilla since often times I am the one that keeps the Unconfirmed bugs under control. Without being able to concentrate more often the Unconfirms often increase until they are out of control.

C’è qualche sviluppatrice che vuole collaborare con Mozilla?

di Francesco Fullone, tratto da OSSBlog

Peccato non avesse tenuto conto dell’opinione degli altri ( e più importanti dirigenti ) della Corporation, che hanno prontamente rettificato le opinioni di Schaver: “Mozilla non fissa le politiche di sicurezza durante pigiama party notturni” è l’incipit della risposta di Window Snyder ( Security Chief presso Mozilla ), nella quale viene chiarito che la sicurezza non è un gioco e che Mozilla non è interessata a gare od ultimatum.

di Andrea de Palo, via OssBlog.it

La vulnerabilità riscontrata, bug denominato "3604", permette di recuperare le password memorizzate nel wallet tramite l’uso del javascript.
Il team di Mozilla, al lavoro per realizzare la patch, consiglia per ora di disabilitare il javascript o il password manager di Firefox.

Da Slashdot

Password Vulnerability In Firefox 2.0.0.5
Paris The Pirate writes "According to a message posted over the weekend on the Full-Disclosure mailing list, the latest version of Firefox, 2.0.0.5, contains a password management vulnerability that can allow malicious Web sites to steal user passwords. If you have JavaScript enabled and allow Firefox to remember your passwords, you are at risk from this flaw."

Fonte: PC-Facile

Gli URI FirefoxURL vengono registrati da Firefox al momento dell’installazione in Windows, e possono essere sfruttati da un sito web maligno per eseguire comandi o codice a libera scelta. Ciò è possibile perché Firefox non controlla la validità dei parametri che gli vengono passati attraverso l’URI FirefoxURL.

"Utilizzando l’URI incriminata è possibile utilizzare Internet Explorer (o qualsiasi altro browser Windows based) per lanciare Firefox ed eseguire immediatamente del codice JavaScript", spiega questo advisory, dove vengono riportati anche diversi test di vulnerabilità. "È altresì possibile creare un profilo utente, caricare impostazioni di Firefox a propria scelta, e installare estensioni globali, il tutto senza il consenso dell’utente".

FrSIRT afferma di non essere a conoscenza di alcuna patch ufficiale, e propone agli utenti un workaround che contempla la cancellazione dal registro di Windows della chiave HKEY_CLASSES_ROOT\FirefoxURL.

Sia FrSIRT che Secunia hanno valutato la falla della massima gravità e, in attesa della patch, invitano gli utenti a visitare solo i siti fidati.

Fonte: Punto Informatico