Secunia, nota azienda di security monitoring, ha rilasciato un advisory relativo ad una nuova falla di sicurezza "altamente critica" isolata nel browser Firefox 2.0 (e successive point release) che coinvolge il gestore URI speciale "firefoxurl://". Questo problema di sicurezza era stato inizialmente attribuito a Internet Explorer, ma secondo Secunia, il bug originario risiede in Firefox.

Il ricercatore di sicurezza Thor Larholm aveva pubblicato nella giornata di ieri un descrizione dettagliata del problema di sicurezza, definendo la falla un "IE zero day" ed attribuendo la causa del problema ad un errore di validazione degli input in Internet Explorer che permetteva agli utenti di passare argomenti arbitrari al processo responsabile della gestione dei protocolli URL. La vulnerabilità può essere effettivamente sfruttata sui sistemi che eseguono entrambi i browser Internet Explorer e Firefox. Si tratta del medesimo problema di input validation che lo stesso Larholm aveva scoperto in Safari 3 Beta (corretto da Apple con il rilascio di Safari 3.0.1 Beta).

 Safari 3 per Windows: Falle e Bug  -  Firefox: Svelate Due Nuove Falle  -  Altre 

Secondo Larholm, la vulnerabilità risiede in un errore nel gestore di protocolli di IE che consente attacchi di command injection. Un attacco condotto con successo includerebbe il passaggio e l'esecuzione di comandi arbitrari tramite il processo "firefox.exe". Firefox infatti esegue la registrazione di un gestore di protocollo chiamato "FirefoxURL" che permette alle altre applicazioni di lanciare il browser se sono capaci di gestire codice HTML. Il problema si manifesta nel momento in cui IE non esegue una corretta validazione del gestore e passa qualsiasi parametro nella richiesta direttamente al processo firefox.exe come argomenti o opzioni.

Secondo Symantec, eventuali attacker possono anche sfruttare la falla per eseguire attacchi di cross-browser scripting tramite l'argomento "-chrome". Questo permette di eseguire codice JavaScript con i privilegi del contesto sicuro Chrome, che ha accesso completo alle risorse di Firefox. Larholm ha anche pubblicato un pagina che permette di testare l'exploit. Altri esempi di attacchi di Cross Browser Scripting tramite l'URI "firefoxurl" sono stati pubblicati dal ricercatore Billy Rios.

Attraverso un portavoce, Microsoft ha comunque fatto sapere (via a eWEEK) che la nuova vulnerabilità non risiede in Internet Explorer: "Microsoft ha indagato attentamente sulla segnalazione di una vulnerabilità in IE e ha trovato che non si tratta di una vulnerabilità di un prodotto dell'azienda".

Secunia riporta nel suo advisory: "Una vulnerabilità scoperta in Firefox può essere sfruttata da utenti malintenzionati per compromettere un sistema vulnerabile. Il problema è che Firefox registra il gestore URI 'firefoxurl://' e permette di invocare firefox con argomenti arbitrari di linea di comando. Usando per esempio il parametro "-chrome" è possibile eseguire codice arbitrario Javascript nel contesto chrome. Questo può essere sfruttato per eseguire comandi arbitrari, per esempio quando un utente visita in sito web nocivo con Microsoft Internet Explorer". Secunia ha verificato la vulnerabilità in Firefox 2.0.0.4 su Windows XP SP2 (con tutti gli aggiornamenti di protezione). Le soluzioni temporanee suggerite dall'azienda di sicurezza: non navigare su siti non fidati e disattivare il gestore URI "Firefox URL".

Thomas Kristensen, Secunia chief technology officer, spiega: "La registrazione dei gestori URI deve essere fatta con attenzione, dato che Windows non presenta nessun modo adeguato per sapere che tipo di input può essere potenzialmente dannoso per una applicazione … Per esempio, sapere che la stringa 'chrome' può essere dannosa per Firefox."