Letta 2399 volte 22 novembre 2006 alle 06.44 di netquik Fonte: Varie
Firefox 2: Falla Grave per Password
LINK:
Firefox 2: Falla Grave per Password
╔ stata svelata una vulnerabilitÓ critica in Firefox 2, la nuova versione del browser open-source di Mozilla, che risiede nella funzione Password Manager e pu˛ essere sfruttata in attacchi di identity theft per accedere alle credenziali (nome utente e password) salvate per una determinata pagina web da un'altra pagina pubblicata nel medesimo dominio, all'insaputa dell'utente vittima. Questo problema Ŕ emerso dalla scoperta iniziale di Netcraft di un attacco RCSR in-the-wild per MySpace.

Come riporta Chapin Information Services (CIS) in un documento di analisi del bug, questa falla potrebbe essere utilizzata dagli attacker per colpire qualsiasi utente che sta visitando un blog o un forum che consentono l'aggiunta di codice HTML. Data la natura dell'attacco il CIS ha classificato questa tecnica come Reverse Cross-Site Request (RCSR). CIS ha reso disponibile un proof-of-concept che permette di testare i browser e la vulnerabilitÓ. Bisogna notare che gli attacchi RCSR colpiscono anche Internet Explorer, ma la falla presente in Firefox rende queste tecniche di exploit molto pi¨ efficaci sul browser di Mozilla.

CIS commenta: "L'incidente [l'attacco RCSR a MySpace.com] prevedeva l'uso di form di login fasulli nei profili utenti del sito web MySpace che invitavano i visitatori a digitare il loro nome utente e password [riproducendo il form di login del sito stesso]. I form e i link possono essere usati in maniera simile per condurre attacchi di Cross-Site Request Forgery (CSRF). La differenza tra CSRF e la nuova generazione di attacchi RCSR sta nella direzione del flusso di dati. Gli attacchi CSRF vengono usati comunemente per aggiungere contenuti ad un blog o forum all'insaputa dell'utente. Questo pu˛ essere eseguito tramite il "forging" di un link o form che non vengono verificati correttamente rispetto all'utente. RCSR, al contrario, prende i contenuti dal blog o forum creando un form sul sito web che riporta all'attacker". Secondo CSI nÚ Firefox nÚ IE eseguono il controllo della destinazione dei dati del form prima dell'invio degli stessi.

A quanto pare la falla in Firefox, che consente l'autofill delle credenziali in questo tipo di form RCSR, Ŕ stata segnalata a Mozilla da CSI una decina di giorni fa. Questo preciso problema non si verifica in IE a meno che il form RCSR compaia sulla stessa pagina del form di login legittimo. Un altro fattore aggravante sta nel fatto che questi form possono essere totalmente nascosti alla visualizzazione. Come dimostra il PoC di CIS, dopo aver salvato una password di una pagina con Firefox, Ŕ possibile che questa venga trasmessa ad un altro sito web tramite un click non voluto su una immagine link invisibile.

Mozilla ha confermato l'esistenza del bug (#360493), ha realizzato un test case dedicato, e ha dichiarato di star lavorando ad un fix che sarÓ incluso nell'aggiornamento 2.0.0.1 o 2.0.0.2 di Firefox. Secondo le informazioni disponibili in rete, anche il progetto SeaMonkey Ŕ affetto dalla vulnerabilitÓ. Testati con il PoC di Mozilla, IE7 si Ŕ mostrato solo parzialmente vulnerabile (elenca le credenziali senza distinguere il fake dall'originale, ma non esegue il completamento dei campi), mentre Opera 9.02 sembra non essere vulnerabile (distingue correttamente le due destinazioni di submit).

In questi casi Ŕ fortemente consigliato prestare la massima attenzione durante l'invio di form contenenti credenziali di accesso. Come soluzione temporanea "stopgap" per Firefox Ŕ possibile disattivare la funzione di salvataggio password del browser: Strumenti ľ Opzioni, Tab Sicurezza, Ricorda la password dei siti. In alternativa Ŕ consigliabile usare l'estensione Master Password Timeout, che almeno genera un prompt prima del completamento dei campi. In questo caso tuttavia bisogna considerare che lo schema di attacco usato per login.myspace.com riproduceva fedelmente il sito legittimo, e questo potrebbe comunque trarre in inganno l'utente.

Per quanto riguarda il problema degli attacchi RCSR, CSI ha suggerito a Mozilla e Microsoft varie modifiche al codice dei loro due prodotti browser, in grado di impedire o scoraggiare tale tecnica. Microsoft ha risposto: "Siamo a conoscenza del problema da voi segnalato … per ragioni di politica interna non possiamo commentare le nostre indagini correnti".
 non ci sono commenti alla news nel forum
username:   password:
oppure con Log in with FacebookLog In with Google
   ricordami
non fai parte della community?
 Esegui l'accesso per commentare questa notizia nel forum 
 
DUST FROM THE PAST
Dopo l'annuncio del delay di Firefox 1.1 e l'aggiornamento della Firefox 2.o Roadmap, Asa Dotzler tenta di fare il punto dei piani futuri di Mozilla. Asa offre nel suo blog degli interessanti diagramm… 3 febbraio 2005
Mozilla Foundation ha pubblicato la roadmap che porterà alla release di Thunderbird 2.0. La roadmap ricalca intenzionalmente quella di Firefox 2.0 e prevede due versioni "milestones", la 1.1 prevista …15 febbraio 2005
Mozilla ha rilasciato Deer Park Alpha 1, la preview release di Firefox 1.1 destinata ai developers e ora disponibile al download nel sito ufficiale del progetto. News correlata -> Firefox 1.1 Alph… 1 giugno 2005
ULTIME NEWS - FIREFOX
Mozilla ha in programma un'ultima importante novità per Firefox 3.5 (conosciuto in codice come Shiretoko), la prossima major version del suo popolare browser open-source: una rinnovata e ottimizzata i…18 maggio 2009
Mozilla ha rilasciato Firefox 3.0.10, ottavo aggiornamento di stabilità e sicurezza per la nuova versione del suo popolare browser open-source. La nuova versione introduce correzioni per una vulnera…28 aprile 2009
Come previsto, e ancor prima di quanto anticipato, Mozilla ha rilasciato Firefox 3.0.9, settimo aggiornamento di stabilità e sicurezza per la nuova versione del suo popolare browser open-source. La nu…22 aprile 2009
 ONLINE
OSPITI 2
UTENTI 0
VISITE OGGI
57
 VISITE TOTALI
5.805.522
login
username:
password:
oppure con Log in with FacebookLog In with Google
ricordami
Non fai parte della community?
Creative Commons License Valid CSS!Valid HTML 4.01 Transitional
 
NEWS - TRUCCHI - DOWNLOAD - ARTICOLI - SITO - DISCLAIMER
X