Mozilla ha annunciato la disponibilità del quinto aggiornamento per la nuova versione del suo browser open-source, Firefox 2.0.0.5. Si tratta di un aggiornamento di sicurezza che include la correzione per diverse vulnerabilità nel codice del browser, tra cui la problematica che coinvolgeva il gestore URI speciale "firefoxurl://" segnalata in una news precedente. L'aggiornamento 2.0.0.5 sta venendo distribuito in queste ore tramite il sistema di software update integrato nel browser, ma può essere scaricato anche manualmente sul sito ufficiale del prodotto (getfirefox.com), in tutte le localizzazioni per Windows, Mac, e Linux. Un corrispondente update per Mozilla Thunderbird è previsto al rilascio a breve.

Secondo le note di rilascio pubblicate da Mozilla, Firefox 2.0.0.5 include la correzione per 8 vulnerabilità di sicurezza, elencate nella sezione dedicata della pagina Mozilla Foundation Security Advisories. 3 sono classificate da Mozilla come critiche: la vulnerabilità di esecuzione di codice tramite il lancio di Firefox via IE (CVE-2007-3670); una falla di "privilege escalation" sfruttabile utilizzando un gestore evento legato ad un elemento esterno al documento (CVE-2007-3737); ed una serie di crash che causano corruzione della memoria. Anche Secunia, nota azienda di security monitoring, ha pubblicato un advisory dedicato alle problematiche corrette nel prodotto. Le vulnerabilità corrette: MFSA 2007-25 XPCNativeWrapper pollution; MFSA 2007-24 Unauthorized access to wyciwyg:// documents; MFSA 2007-23 Remote code execution by launching Firefox from Internet Explorer; MFSA 2007-22 File type confusion due to %00 in name; MFSA 2007-21 Privilege escalation using an event handler attached to an element not in the document; MFSA 2007-20 Frame spoofing while window is loading; MFSA 2007-19 XSS using addEventListener and setTimeout; MFSA 2007-18 Crashes with evidence of memory corruption.

 Firefox: Falla 'firefoxurl' via IE  -  Firefox: 28% Quota Uso in Europa  -  Altre 

Come segnalato in una news dedicata, la vulnerabilità "firefoxurl://" permetteva ad un attacker di utilizzare Microsoft Internet Explorer per lanciare Firefox ed eseguire contestualmente codice arbitrario potenzialmente nocivo. Durante la scorsa settimana gli esperti di sicurezza avevano intavolato una discussione sulla "responsabilità originale" della falla di sicurezza (se fosse da attribuire a Firefox o a Internet Explorer). Il ricercatore di sicurezza Thor Larholm aveva pubblicato originariamente un descrizione dettagliata del problema di sicurezza, definendo la falla un "IE zero day" ed attribuendo la causa del problema ad un errore di validazione degli input in Internet Explorer che permetteva agli utenti di passare argomenti arbitrari e non verificati al processo responsabile della gestione dei protocolli URL. Eventuali attacker possono anche sfruttare la falla per eseguire attacchi di cross-browser scripting tramite l'argomento "-chrome" con i privilegi elevati in accesso completo alle risorse di Firefox.

Se Microsoft e Secunia hanno sostenuto che il problema di sicurezza risiedeva nella mancata validazione dei dati da parte di Firefox (cosa che ora è stata corretta in Firefox 2.0.0.5), Mozilla nel suo security advisory dedicato attribuisce la problematica a Internet Explorer. Dall'advisory: "Internet Explorer richiama i protocolli URL registrati senza eseguire l'escaping delle virgolette e può essere utilizzato per passare dati non previsti e potenzialmente nocivo alla applicazione che registra il Protocollo URL". Come evidenzia Mozilla infatti altre applicazione Windows possono essere richiamate in questo modo e manipolate per eseguire codice nocivo. Il fix fornito incluso in Firefox 2.0.0.5 (e Thunderbird 2.0.0.2) impedisce solo al browser di accettare questo tipo di dati, e ovviamente non corregge la falla in IE.

A conferma di questa analisi della problematica, nella giornata di ieri, i ricercatori di sicurezza Nate McFeters, Billy Rios e Raghav Dube hanno svelato le informazioni relative ad un simile metodo di attacco che affligge il software IM Trillian. Come Firefox infatti, anche Trillian sfrutta un URI dedicato, "aim://" che può essere richiamato da Internet Explorer con alcuni parametri arbitrari. Questa vulnerabilità verificata in Trillian Basic 3.1.6.0, insieme ad un secondo problema di buffer overflow nella plugin aim.dll, sono stati descritti da Mcfeters (che ha fornito anche codici PoC), e da Secunia.