Mozilla ha confermato l’esistenza di una vulnerabilità di sicurezza che affligge il suo popolare browser open-source Firefox nella gestione degli indirizzi “chrome:” (utilizzati per caricare specifici elementi dell’interfaccia del browser e delle estensioni come finestre, pulsanti e finestre di dialogo). La falla descritta da Window Snyder, Mozilla security chief, sul blog ufficiale Mozilla Security, potrebbe consentire ad un sito malintenzionato di accedere ai file locali conservati in posizioni conosciute.

Si tratta nello specifico di una vulnerabilità nello schema di protocollo “chrome” che permette un exploit “directory traversal” in presenza di un add-on (estensione) “flat”, portando ad una potenziale disclosure di informazioni. La vulnerabilità interessa quindi quelle estensioni che si installano come set di file non compressi, senza sfruttare il formato file .jar.

Quando un pacchetto chrome è “flat” invece di essere contenuto un file .jar, è possibile eseguire l’escape della cartella delle estensioni e leggere file posizionati in location prevedibili sul disco. Molte estensioni attualmente vengono distribuite in questo modo. Secondo Mozilla, una pagina web modificata ad arte per l’attacco sarebbe capace di caricare immagini, script, o fogli di stile da location conosciute del disco dell’utente vittima. Questa tecnica potrebbe essere sfruttata dagli attacker per rilevare la presenza di file ed informazioni sulle applicazioni installare. Queste informazioni potrebbero poi essere utilizzate per creare un profilo del sistema nell’ambito di un diverso tipo di attacco.

Gli utenti sono a rischio se hanno almeno una estensione “flat” installata in Firefox. Esempi di estensioni popolari vulnerabili a questo tipo di problematica sono Download Statusbar e Greasemonkey. Come riporta Mozilla Links, Devon Jensenm, sviluppatore di Download Statusbar, ha rapidamente pubblicato un aggiornamento (0.9.5.3) che ri-confenziona l’estensione in un file .jar. Se state utilizzando questa estensione, potete effettuarne l’aggiornamento andando nel Gestore dei componenti aggiuntivi (menu Strumenti, Componenti aggiuntivi) e cliccare sul pulsante Cerca aggiornamenti. Allo stesso modo anche Greasemonkey è stato aggiornato per correggere la problematica di sicurezza (la versione 0.7.20080121.0 introduce anche il supporto per Firefox 3 Beta).

Mozilla sta attualmente indagando in profondità sulla problematica di “information disclosure”, ed ha assegnato al bug un rating di rischio “basso”. Ulteriori dettagli sono disponibili nella entry BugZilla 413250. La vulnerabilità era stata segnalata originariamente da Gerry Eisenhaur sul suo blog. Il ricercatore ha anche pubblicato un codice proof of concept che dimostra l’exploit della falla.

Come riporta Giorgio Maone, autore di geek italiano e autore di popolari estensioni per Firefox come FlashGot e NoScript, la potente estensione di sicurezza NoScript è in grado di impedire agli URI chrome di essere caricati come script nei contenuti web, rendendo così questo bug impossibile da sfruttare, indipendentemente dal fatto che il sito dell’attacker sia impostato come sicuro (cioè gli sia permessa l’esecuzione di codice JavaScript).

Fonte: tweakness.net

Pubblicato in Browser, Firefox, bug, falla