Ciao, per farti riconoscere devi fare il login. Non ti sei ancora iscritto? Che aspetti, registrati adesso!
Bug ad alto rischio per Firefox
Scritto da Francesco Corsentino il 08-02-2008 ore 09:33
Eppure gli avvisi e la descrizione di Eisenhaur erano chiari, fin troppo chiari: sul suo sito egli ha messo a disposizione un po’ di codice e del testo per provare l'attacco. Appena qualche giorno fa, viene pubblicata la notizia che i programmatori del noto browser sono già all'opera per una patch fortemente richiesta. In termini tecnici si direbbe che il bug è stato riclassificato sotto la categoria hard risk. Vediamo i dettagli.
Eisenhaur ha scoperto la falla investigando su alcuni add-on disponibili per Firefox. In particolare si tratta degli add-on che non fanno uso di un file jar per impacchettare i componenti, ma sfruttano semplici file singoli: tali add-on sono detti flat. Da qui, attraverso l'installazione di tali file, da un sito opportunamente programmato è possibile far eseguire alla macchina vittima (quella che installa l'add-on flat) un numero arbitrario di file JavaScript o fogli di stile.
Cosa rischia l'utente? Ciò dipende dall'abilità di chi conduce l'attacco; i file JavaScript possono essere usati per rivelare informazioni preziosissime: dati di sessioni, contenuto di cookie, tutta la cronologia. Partendo da questi dati, l'attaccante può così operare una sorta di profilazione del sistema vittima, con conseguenze pesanti per l'utente: una profilazione del sistema significa scoprire abitudini e, a volte dati sensibili della vittima, ad esempio intercettare applicazioni installate, presenza di determinati file.
Ottenute e studiate con intelligenza, tutte queste informazioni consentono all'attaccante di pianificare altri tipi di attacco, ben più specifici e ad alto tasso di successo. Per dirla francamente, si rischia la perdita del controllo del PC. Proprio in questi giorni, Firefox ha stilato una lunga lista di add-on considerati a rischio, e fra questi sono presenti molte extension popolari. Una prima soluzione per evitare questo tipo di attacco consiste nell'installare NoScript, una extension che permette l'esecuzione di codice JavaScript, Java o Flash soltanto per siti reputati trusted.
Sempre in questi giorni è attesa l'importante patch. In conclusione, è bene ribadire che il browser, di default (cioè senza installazione di add-on), è molto robusto e non rischia quasi nulla. E' necessario prestare attenzione agli add-on che scarichiamo ed installiamo nel nostro sistema. Questa è l'ennesima conferma di come al crescere dell'utenza crescono i problemi di sicurezza. Una legge inesorabile cui Firefox non è riuscita a sottrarsi.
Successiva: A spasso con Python
Intervento di Andrea Dalessandro a.k.a. andale del 08-02-2008 ore 10:24, Bologna (BO)
Plebeo
(4 interventi)
Iscritto il 30-01-2007
Forse ho capito male, ma il bug si presenta solo installando determinati add-on (malevoli), non so se e' giusto per tanto, reputarlo come bug di firefox.
E' sempre il solito discorso, quando si installa qualcosa, bisogna fidarsi dello sviluppatore che ha implementato tale programma (o come in questo caso extension).
Quindi ci vuole cautela.
E' sempre il solito discorso, quando si installa qualcosa, bisogna fidarsi dello sviluppatore che ha implementato tale programma (o come in questo caso extension).
Quindi ci vuole cautela.
Intervento di Pierpaolo Cira a.k.a. pierpaoloc del 08-02-2008 ore 10:42
Marchese
(1361 interventi)
Iscritto il 17-01-2006
Citazione:
Forse ho capito male, ma il bug si presenta solo installando determinati add-on (malevoli), non so se e' giusto per tanto, reputarlo come bug di firefox.
E' sempre il solito discorso, quando si installa qualcosa, bisogna fidarsi dello sviluppatore che ha implementato tale programma (o come in questo caso extension).
Quindi ci vuole cautela.
E' sempre il solito discorso, quando si installa qualcosa, bisogna fidarsi dello sviluppatore che ha implementato tale programma (o come in questo caso extension).
Quindi ci vuole cautela.
Il discorso è che Firefox è un'applicazione del Mozilla Framework, come tutti gli addon.
A mio parere, un valido framework che permette di installare applicazioni di terze parti con le API che mette a disposizione deve assicurarsi che tali applicazioni non scavalchino i limiti imposti dalle specifiche. Se così non fosse diventa un bug... e, come in questo caso, anche grave.
Intervento di Francesco Corsentino a.k.a. kikoweb del 08-02-2008 ore 11:15, Pisa (PI)
Nobile
(79 interventi)
Iscritto il 07-04-2007
Esatto: il problema è tutto lì! Ma come imporre o controllare che l'add-on non scavalchi i limiti? Potrebbe essere un interessante quesito, anche del tutto generale in programmazione, valido cioè per qualsiasi codice e applicazione o progetto!
@andale
L'add-on è di Firefox e "usa" (diciamo così) il codice di Firefox: se hai Firefox e hai l'add-on sei a rischio! Quindi penso sia giusto il pensiero di attribuire il rischio a Firefox, inteso in tal senso come tutto ciò che gravita attorno a Firefox, add-on evidentemente compresi. Attenzione: non hai torto nel sollevare questo dubbio, anzi proprio il team Mozilla ha tenuto a sottolineare come il browser in sè non soffra pericoli.
Piuttosto è una frase che mi tormenta: "al crescere degli utenti, cresce l'insicurezza e conseguentemente i problemi legati alla sicurezza". Qualcuno è d'accordo con questa regola?
@andale
L'add-on è di Firefox e "usa" (diciamo così) il codice di Firefox: se hai Firefox e hai l'add-on sei a rischio! Quindi penso sia giusto il pensiero di attribuire il rischio a Firefox, inteso in tal senso come tutto ciò che gravita attorno a Firefox, add-on evidentemente compresi. Attenzione: non hai torto nel sollevare questo dubbio, anzi proprio il team Mozilla ha tenuto a sottolineare come il browser in sè non soffra pericoli.
Piuttosto è una frase che mi tormenta: "al crescere degli utenti, cresce l'insicurezza e conseguentemente i problemi legati alla sicurezza". Qualcuno è d'accordo con questa regola?
Intervento di Paolo Raviola a.k.a. poveruomo del 08-02-2008 ore 11:37, Asti (AT)
Cavaliere
(106 interventi)
Iscritto il 18-11-2007
Ho subito controllato la lista e, fortunatamente, nessuno dei 4 o 5 add-on che uso è riportato 
. Comunque il firewall che uso (opportunamente configurato) è in grado di bloccare selettivamente JavaScript e Flash; alle volte è una rottura di scatole, con tutti i pop-up che compaiono, però è meglio essere un po' paranoici, piuttosto che ritrovarsi poi qualche "regalino".
Ad ogni modo ho scaricato la versione 2.0.0.12 di Firefox (rilasciata ieri), dove l'exploit è dato per risolto MFSA 2008-05 Directory traversal via chrome.
In linea generale, sì, e non solo per i browser. Ricordo che tempo fa venne fatto un esperimento, non so quanto "scientifico": vennero messe in Rete una macchina Windows e una macchina Linux "normalmente" configurate per quanto riguarda la sicurezza e lasciate a sé stesse. Il primo attacco a Windows avvenne dopo circa mezz'ora, mentre per la macchina Linux si dovette attendere circa un giorno.
Che cosa voglio dire con questo? Che più crescono gli utenti, più il sistema diventa "appetibile" ai malintenzionati, che quindi lo analizzano, lo sviscerano, fino a trovare sempre più falle di sicurezza.
. Comunque il firewall che uso (opportunamente configurato) è in grado di bloccare selettivamente JavaScript e Flash; alle volte è una rottura di scatole, con tutti i pop-up che compaiono, però è meglio essere un po' paranoici, piuttosto che ritrovarsi poi qualche "regalino".Ad ogni modo ho scaricato la versione 2.0.0.12 di Firefox (rilasciata ieri), dove l'exploit è dato per risolto MFSA 2008-05 Directory traversal via chrome.
Citazione:
Piuttosto è una frase che mi tormenta: "al crescere degli utenti, cresce l'insicurezza e conseguentemente i problemi legati alla sicurezza". Qualcuno è d'accordo con questa regola?
In linea generale, sì, e non solo per i browser. Ricordo che tempo fa venne fatto un esperimento, non so quanto "scientifico": vennero messe in Rete una macchina Windows e una macchina Linux "normalmente" configurate per quanto riguarda la sicurezza e lasciate a sé stesse. Il primo attacco a Windows avvenne dopo circa mezz'ora, mentre per la macchina Linux si dovette attendere circa un giorno.
Che cosa voglio dire con questo? Che più crescono gli utenti, più il sistema diventa "appetibile" ai malintenzionati, che quindi lo analizzano, lo sviscerano, fino a trovare sempre più falle di sicurezza.
Intervento di Andrea Dalessandro a.k.a. andale del 08-02-2008 ore 11:55, Bologna (BO)
Plebeo
(4 interventi)
Iscritto il 30-01-2007
Citazione:
A mio parere, un valido framework che permette di installare applicazioni di terze parti con le API che mette a disposizione deve assicurarsi che tali applicazioni non scavalchino i limiti imposti dalle specifiche.
Forse mi mancano quali sono i limiti imposti dalle specifiche.
Intervento di Jacopo Cocchi a.k.a. diobrando del 08-02-2008 ore 23:30, Udine (UD)
Barone
(229 interventi)
Iscritto il 18-09-2004
Citazione:
Esatto: il problema è tutto lì! Ma come imporre o controllare che l'add-on non scavalchi i limiti? Potrebbe essere un interessante quesito, anche del tutto generale in programmazione, valido cioè per qualsiasi codice e applicazione o progetto!
@andale
L'add-on è di Firefox e "usa" (diciamo così) il codice di Firefox: se hai Firefox e hai l'add-on sei a rischio! Quindi penso sia giusto il pensiero di attribuire il rischio a Firefox, inteso in tal senso come tutto ciò che gravita attorno a Firefox, add-on evidentemente compresi. Attenzione: non hai torto nel sollevare questo dubbio, anzi proprio il team Mozilla ha tenuto a sottolineare come il browser in sè non soffra pericoli.
@andale
L'add-on è di Firefox e "usa" (diciamo così) il codice di Firefox: se hai Firefox e hai l'add-on sei a rischio! Quindi penso sia giusto il pensiero di attribuire il rischio a Firefox, inteso in tal senso come tutto ciò che gravita attorno a Firefox, add-on evidentemente compresi. Attenzione: non hai torto nel sollevare questo dubbio, anzi proprio il team Mozilla ha tenuto a sottolineare come il browser in sè non soffra pericoli.
Il problema è interessante posto nella sua generalità.
La risposta è il seguire strettamente le linee guida del progetto.
Se non lo fai tu sviluppatore di una data estensione non ottieni (esempio) la certificazione ufficiale Mozilla.
Oppure per prevenire il tutto, occorrerebbe che FF mettesse a disposizione un ambiente tipo sandbox nel quale venire eseguito nel momento in cui si utilizzino degli addon che trasformano Firefox in una versione "non + ufficiale", insomma diversa da quella data chiavi in mano.
Ma è dura...si farebbe prima ad usare per navigare una macchina virtuale (e col supporto della virtualizzazione direttamente dalle architetture questo diventerà sempre + comune)
Citazione:
Piuttosto è una frase che mi tormenta: "al crescere degli utenti, cresce l'insicurezza e conseguentemente i problemi legati alla sicurezza". Qualcuno è d'accordo con questa regola?
C'è del vero. Il problema però è che è impossibile determinare il tipo di relazione dal pdv statistico-matematico.
Come cresce la presenza di malware per una piattaforma al crescere della sua diffusione?
Anche questo è un punto interessante. In passato mi sn sempre opposto a questa argomentazione perchè utilizzata come scudo difensivo dagli utilizzatori di Windows nei confronti di tutti gli altri.
La verità è il problema era + complesso e risiedeva in alcune scelte progettuali sbagliate fatte a monte (tipo l'admin di default invece che un utente con privilegi limitati) e la prova del 9 la si è avuta con Vista.
Chiaramente è + recente rispetto ai suoi concorrenti però è indubbio che le pochissime vulnerabilità finora scoperte dimostrano che di passi avanti nel campo della sicurezza ne sn stati fatti tanti e sn stati significativi.
Intervento di Maurizio Zio a.k.a. ziomaul del 18-02-2008 ore 02:06
Cavaliere
(112 interventi)
Iscritto il 22-02-2007
Citazione:
A mio parere, un valido framework che permette di installare applicazioni di terze parti con le API che mette a disposizione deve assicurarsi che tali applicazioni non scavalchino i limiti imposti dalle specifiche. Se così non fosse diventa un bug... e, come in questo caso, anche grave.
Ma rimane principalmente un bug del add-on non dell'applicazione. Ma questa non deve essere una scusa per non pensarci. Sarebbe bello se tutti i programmi che hanno add-on pensassero come il team di Mozilla di blindare (dove si può, perchè poi diventa un limite) gli add-on.
Ciao
Intervento di Maurizio Zio a.k.a. ziomaul del 18-02-2008 ore 02:14
Cavaliere
(112 interventi)
Iscritto il 22-02-2007
Citazione:
In linea generale, sì, e non solo per i browser. Ricordo che tempo fa venne fatto un esperimento, non so quanto "scientifico": vennero messe in Rete una macchina Windows e una macchina Linux "normalmente" configurate per quanto riguarda la sicurezza e lasciate a sé stesse. Il primo attacco a Windows avvenne dopo circa mezz'ora, mentre per la macchina Linux si dovette attendere circa un giorno.
Che cosa voglio dire con questo? Che più crescono gli utenti, più il sistema diventa "appetibile" ai malintenzionati, che quindi lo analizzano, lo sviscerano, fino a trovare sempre più falle di sicurezza.
Che cosa voglio dire con questo? Che più crescono gli utenti, più il sistema diventa "appetibile" ai malintenzionati, che quindi lo analizzano, lo sviscerano, fino a trovare sempre più falle di sicurezza.
Non vuol dire niente :
Mettiamo due auto una 500 e una Simca (questa con un cane da guardia dentro) in un posto di teppisti ... La 500 sarebbe attaccata solo dopo un ora mentre la Simca dopo un giorno ... E' perchè la 500 è più odiata dai teppisti o perchè è meglio conosciuta o è il cane ?
Potrebbe essere benissimo che se io voglio attaccare una pc e trovo una con Linux e una con Windows, scelga d'attaccare la macchina Windows perchè mi è più facile !
Ciao
Intervento di Paolo Raviola a.k.a. poveruomo del 18-02-2008 ore 11:33, Asti (AT)
Cavaliere
(106 interventi)
Iscritto il 18-11-2007
Citazione:
Non vuol dire niente :
Mettiamo due auto una 500 e una Simca (questa con un cane da guardia dentro) in un posto di teppisti ... La 500 sarebbe attaccata solo dopo un ora mentre la Simca dopo un giorno ... E' perchè la 500 è più odiata dai teppisti o perchè è meglio conosciuta o è il cane ?
Potrebbe essere benissimo che se io voglio attaccare una pc e trovo una con Linux e una con Windows, scelga d'attaccare la macchina Windows perchè mi è più facile !
Ciao
Mettiamo due auto una 500 e una Simca (questa con un cane da guardia dentro) in un posto di teppisti ... La 500 sarebbe attaccata solo dopo un ora mentre la Simca dopo un giorno ... E' perchè la 500 è più odiata dai teppisti o perchè è meglio conosciuta o è il cane ?
Potrebbe essere benissimo che se io voglio attaccare una pc e trovo una con Linux e una con Windows, scelga d'attaccare la macchina Windows perchè mi è più facile !
Ciao
Cerchiamo di restringere il campo d'indagine e facciamo un esempio pratico: prendiamo due team di hacker (o di ricercatori), a perfetta conoscenza delle tecniche più avanzate di intrusione, e due macchine "normalmente" configurate per la sicurezza, una Windows e una Linux. È quasi certo che la macchina Linux resisterebbe più a lungo agli attacchi. Circoscritto il problema in questo modo, sono d'accordo con te. Ma come hanno fatto i due team a conoscere le tecniche di intrusione? Hanno analizzato i sistemi e siccome gli "piaceva" di più Windows, lo hanno analizzato più a fondo e quindi hanno scoperto più falle. Se, per ipotesi, Linux (o qualche sua variante) fosse il sistema più diffuso, presente sul 90% dei PC, io penso che non sarebbe più tanto sicuro.
Per non cadere nelle solite polemiche Windows/Linux, faccio un altro esempio relativo all'evolvere della sicurezza nel tempo, che non c'entra niente con la piattaforma hardware/software utilizzata. Quando venne concepito il DES, negli anni '70, era ritenuto "sicuro" e, per quell'epoca, lo era veramente. Alcuni anni fa, però, il NIST indisse una gara per sostituirlo, e nacque l'AES. Perché il DES non era più sicuro? Non perché lo schema concettuale fosse stato forzato, ma perchè la potenza elaborativa si era evoluta a tal punto che una macchina costruita ad hoc poteva forzare il DES in tempi ragionevoli.
Con questi esempi cosa voglio dire? Che, a causa di eventi esterni (maggior potenza di calcolo o maggiore analisi del sistema) la sicurezza cambia.
Copyright Programmazione.it™ 1999-2009. Alcuni diritti riservati. Testata giornalistica iscritta col n. 569 presso il Tribunale di Milano in data 14/10/2002.
Pagina generata in 0.995 secondi. Sito ottimizzato per Mozilla Firefox. Powered by Kyron.