Mozilla ha rilasciato Firefox 2.0.0.7, aggiornamento di sicurezza per il suo popolare browser open-source che include una patch “non-definitiva” per un vulnerabilità di sicurezza critica segnalata giorni fa che coinvolge la plug-in Apple QuickTime.
L’aggiornamento viene definito un “firedrill” di sicurezza rilasciato esclusivamente per mitigare i rischi derivanti dal problema di sicurezza in questione.Il problema riguarda una serie di “design flaws” che affliggono la funzione di interpretazione dei file .qtl rinominati come file multimediali (per esempio .mp3). La plug-in di QuickTime infatti, per richiamare il browser predefinito di sistema, non utilizza una chiamata a livello di OS e permette quindi di sfruttare codice non sicuro nei parametri della stessa.

Dall’advisory di Mozilla MFSA 2007-28: “Sul suo blog Petko D. Petkov ha segnalato che i file QuickTime Media-Link contengono un attributo qtnext che potrebbe essere utilizzato su sistemi Windows per lanciare il browser predefinito con opzioni di linea di comando arbitrari. Quando il browser predefinito è Firefox 2.0.0.6 o precedenti, l’utilizzo dell’opzione –chrome permette ad un attacker di eseguire da remoto comandi script con i pieni privilegi dell’utente. Questo potrebbe essere sfruttato per installare malware, rubare dati locali, o corrompere in altra maniera il computer vittima. Il fix per MFSA 2007-23 era stato studiato per impedire questo tipo di attacchi, tuttavia QuickTime richiama il browser in maniera non prevista bypassando questo precedente fix. Per proteggere gli utenti di Firefox da questo problema abbiamo eliminato la possibilità di eseguire script arbitrari da linea di comando. Altre opzioni di linea di comando sono ancora disponibili tuttavia, e i file QuickTime Media-link potrebbero ancora essere sfruttati per infastidire gli utenti con finestre pop-up o simili, finché questo problema non sarà corretto in QuickTime“.

Bisogna evidenziare che la problematica sembra essere una di quelle descritte in un vecchio bug (CVE-2006-4965), tuttavia il fix fornito da Apple con il rilascio di QuickTime 7.1.5 non impedisce questo tipo di attacco. Mozilla evidenzia nel suo advisory inoltre che Gran Paradiso Alpha 8, imminente Alpha release di Firefox 3, non includerà un fix per questa vulnerabilità.

Le modifiche apportate da Mozilla al codice di Firefox in sostanza impediscono di utilizzare il parametro –chrome con indirizzi web che iniziano con “javascript:” o “data:”. Si tratta di un workaround per limitare i rischi derivati dal problema di sicurezza, che non dovrebbe avere un grande impatto su sviluppatori web e utenti. Per una correzione definitiva della falla bisognerà attendere che Apple corregga nuovamente il codice della sua plug-in QuickTime come originariamente previsto, cioè limitando l’utilizzo del parametro qtnext nei file .qtl ai soli indirizzi web http: e https (e file: per i file locali).

Bisogna inoltre evidenziare che disabilitare JavaScript nel browser non protegge dai tentativi di attacco alla falla. Nelle versioni vulnerabili del browser infatti gli script passati tramite l’opzione –chrome sono eseguiti indipendentemente dall’impostazione JavaScript per i contenuti web. La popolare estensione NoScript tuttavia, include protezione per questo tipo di attacchi a partire dalla scoperta delle vulnerabilità cross-browser descritte nell’advisory MFSA 2007-23. Segnaliamo infne un commento pubblicato dall’azienda di sicurezza Sophos che invita tutti gli utenti ad aggiornare il proprio browser, fornendo anche alcuni suggerimenti per la protezione degli ambienti aziendali.

Come di consueto Firefox 2.0.0.7 sta venendo distribuito in queste ore tramite il sistema di software update integrato nel browser, ma può essere scaricato anche manualmente sul sito ufficiale del prodotto (getfirefox.com), in tutte le localizzazioni per Windows, Mac, e Linux.

fonte: Tweakness.net

(No Ratings Yet)

 Loading ...