Come in un film già visto ecco riprospettarsi all’orizzonte un grave problema di sicurezza nell’ultima release di Firefox, l’ottimo browser open source, sviluppato dal team Mozilla. Come successo a novembre scorso anche in questo caso la vulnerabilità riguarderebbe le password memorizzate e gestite dal browser che potrebbero essere rubate tramite del codice Javascript da siti poco affidabili.
Almeno questo è quanto riportato in un messaggio di Paris The Pirate sulla Full-Disclosure mailing list e c’è da preoccuparsi e se non altro per il fatto che sul sito web Heise-Security è subito comparsa addirittura una demo per fare vedere cosa potrebbe accadere nel caso in cui ci dovessimo imbattere in qualche sito malizioso con una versione del browser affetta da tale vulnerabilità.
Io ho provato ad effettuare il test e nonostante abbia i Javascript attivati (cosa ormai d’obbligo per non “navigare alla cieca”) sembro non essere affetto dal problema anche se la cosa mi sembra essere alquanto strana visto che ho una normalissima versione di Firefox 2.0.0.5 e sono da un lato sollevato e dall’altro preoccupato perchè non si riesce più a distinguere l’affidabilità o meno di questi “proclami”.
Il problema di sicurezza che si era verificato a novembre con una delle prime versioni del ramo 2.0 era dovuto ad una particolare tecnica chiamata reverse cross-site scripting, che faceva in modo che le pagine malevole riuscivano ad impossessarsi delle password memorizzate nel gestore delle stesse del browser, ma non si faceva uso di codice Javascript per effettuare questa operazione malevola e la “furbata” era largamente diffusa sulle pagine di Myspace.com
Gli sviluppatori del team Mozilla stanno discutendo con gli esperti di Heise-Security se togliere o meno questa funzionalità dal browser in quanto è sempre più spesso possibile che delle pagine malevole possano rubare le password degli utenti di Firefox a loro insaputa a seconda che si sia scelto di memorizzarle nell’apposito gestore o meno. Stesso problema si ha con Safari e credo che anche Camino sia affetto da tale vulnerabilità in quanto facente parte della “grande famiglio Mozilla”.
Come mettersi al riparo dal problema? Disattivando i Javascript oppure non utilizzando il gestore delle password di Firefox.
Voi che browser utilizzate? Effettuando il test risultate essere esposti hai rischi sopra citati? Oppure come nel mio caso siete magicamente “esenti” da questo problema? Sono curioso di sapere se sono io che sbaglio ad effettuare la procedura di test oppure è una questione di aleatorietà della vulnerabilità… cosa per altro ancora più preoccupante perchè vorrebbe dire che ci vorrebbe una cura aleatoria!!!
[via Linux.com]
9 risposte su “Vulnerabilità delle password in Firefox 2.0.0.5”
C’è una cosa da notare. Il bug non mette in pericolo TUTTE le password memorizzate, ma solo quella legata al dominio della pagina in cui c’è il codice malevolo.
In pratica se siete abbonati a pippo.com, avete memorizzato la password e visitate una pagina di un utente, per esempio pippo.com/utentone, oppure una pagina con un commento o un articolo scritto da un utente, se pippo.com consente di memorizzare codice o commenti o articoli contenenti script, se quell’utente inserisce codice malevolo e se voi avete gli script attivi… vi fregano la password di pippo.com.
Si tratta comunque di un buco grave, ma non tanto quanto questi annunci hanno fatto percepire nella gente normale… come ho segnalato sul blog.
Insomma non è il caso di correre a disinstallare firefox 🙂
In pratica per stare sicuri basta NON memorizzare le password per tutti quei domini che consentono agli utenti di predisporre pagine, commenti, stringhe, in cui sia possibile inserire codice script. Magari mantenendo per default attivo un plugin tipo noscript….
🙂 , menomale …..fiuuuu……
Ok ho scoperto perchè a me non funziona e chiedo venia a tutti: per sicurezza avevo disattivato l’opzione che prevedeva la memorizzazione delle password
:fisch: :fisch:
Anche a me riesce a beccare la password e utilizzo Firefox 2.0.0.5 su Arch Linux.
Ciao, Paolo.
[…] eseguito la demo con le impostazioni di default (quindi JS abilitati), e a differenza di Davide, la password viene captata […]
A me la password la legge.
Queste le caratteristiche:
Mozilla/5.0 (Windows; U; Windows NT 5.0; it; rv:1.8.1.5) Gecko/20070713 Firefox/2.0.0.5
Con il mio FF ha funzionato a dovere identificandomi utente e password.
Vero che io non uso mai il salvataggio perché non mi ha mai ispirato. Bisognerebbe provare se la tecnica funziona anche con email inviate a Thunderbird.
E che cazz… Non si può mai stare tranquilli!!! C’è un modo di esportare le password salvate in Firefox da qualche parte?
Mi rispondo da solo…
https://addons.mozilla.org/en-US/firefox/addon/2848
basta installare l’utilissima estensione NoScript e abilitare il java/javascript solo sui siti affidabili…
con questa estensione finora mi sono salvato da parecchi bug (vedi anche la recente vulnerabilità cross browser scripting tra IE e FF).
:bye: