Come già successo non molto tempo fà per la versione di Firefox 2.0.0.0, oggi la storia si ripete ma con la versione 2.0.0.5 e con Safari. I ricercatori della heise-security hanno scoperto oggi quasi la stessa falla. Essa risiede nel password manager di Firefox e funziona se l'utente acconsente a salvare la password per un particolare sito. Poiché firefox riempie i campi di una form automaticamente una volta salvati i dati (user e pwd relative al sito) nelle quali sono presenti campi aventi lo stesso "name" (Ex. <input name="user"... ) Specialmente nelle nuove web community, un aggressore potrebbe emulare la form di login per rubare i dati di accesso, che sono automaticamente riempiti da firefox e inviati al suo server. Nel passato, simile vulnerabilità permetteva di inviare i dati direttamente al server dell'aggressore non appena si cliccava sul submit. Comunque, gli sviluppatori lo fixarono e ora c'é un controllo della destinazione a cui i dati sono inviati; Markus Bucher ,però, ha notato che non è necessario cambiare la destinazione dei dati inviati: piuttosto, è possibile leggere i dati immessi via javascript che li ripresenterà sotto una forma "evil". Ovvero è possibile utilizzare un altra pagina es page2 in cui sia presente una fake login uguale a quella di page1. In questo modo i vostri dati potrebbero essere rubati. Praticamente, la pagina semplicemente deve accedere ai dati via DOM (il document.<form>.<field>. value). POC

Salvando la password nel password manager e cliccando su una page2 che riporta il fake login avremo

Al momento non è stata rilasciata alcuna patch o fix del bug che affligge tra l'altro, come su menzionato, anche Safari.

Tags: Mozilla, Software, sicurezza

Articoli correlati

Remote command execution su Firefox 2.0.0.5

Wikio vulnerabile ad attacchi XSS.

Google Browser Sync Firefox extension

Twitbin e lo sniffing delle password in chiaro tramite POST

Grosso bug in firefox 2.0

 Se ti è piaciuto questo articolo, seguici

Puoi seguire i commenti a questo articolo tramite il feed RSS 2.0. Puoi inviare un commento, o fare un trackback dal tuo sito.

7 Commenti a “Firefox 2.0.0.5 & Safari: una falla permette di rubare le password”

1. Il blog di Guido Arata: diffusione-del-sapere-informatico: news-exploit-bug-sicurezza-informatica-programmazione scrive:
   22 Luglio 2007 alle 11:28

   [...] per TechNotizie sono finito sul blog di Antonio, che segnala la presenza di un nuovo bug, scovato dagli esperti del settore, insito nell’ultima versione [...]

2. TheKaneB scrive:
   22 Luglio 2007 alle 17:06

   Credo che la funzione di salvataggio delle password sia fonte di insicurezza “by design”. Bisognerebbe fare un controllo anche sull’autenticità del dominio, quindi in teoria solo le pagine autenticate con SSL dovrebbero consentire il giusto grado di affidabilità. Firefox dovrebbe salvare le password soltanto sulle pagine criptate (con chiave trusted).

3. al0ha scrive:
   23 Luglio 2007 alle 17:42

   Ciao TheKaneB, io non sarei così esagerato da implementare SSL su ogni dominio per una falla che probabilmente verrà fixata nella prossima release di FF.
   :)
   Per adesso le uniche soluzioni che consiglierei sono disabilitare Javascript (cosa difficilmente proponibile visto il largo uso che se ne fa dello stesso nel web odierno), utilizzare un password manager esterno come Roboform o Sticky Password (entrambi a pagamento) oppure provare un software gratuito e open-source KeePass (c’é anche una versione stand-alone per avere le pwd su supporto USB), oppure NON salvare le password nel password manager e/o cancellarle fino al rilascio di un rilascio di Firefox 2.0.0.6.

4. TheKaneB scrive:
   23 Luglio 2007 alle 17:59

   al0ha: hai perfettamente ragione, non è umanamente possibile implementare SSL su tutti i dominii, infatti non è una soluzione la mia, ma solo una constatazione oggettiva dei fatti. Non so per quanto riguarda windows, ma su linux esistono diversi programmi free (gratuiti e liberi) che funzionano da “portachiavi” e criptano le password di siti internet, connessioni wireless, bancomat, di tutto e di più, con algoritmi a chiave asimmetrica di sicurezza militare. Il problema non è “conservare le password” ma evitare che cadano in mani sbagliate, firefox può controllare che al 90% il sito sia affidabile con i più sofisticati algoritmi, ma la “certezza matematica” si può avere solo con le connessioni cifrate.
   Detto questo ribadisco che IMHO non è una falla di sicurezza quella di firefox, ma la funzionalità stessa di “salvataggio password” è intrinsecamente insicura quando è associata a pagine non cifrate! Spero di aver reso meglio il mio pensiero :)

5. al0ha scrive:
   23 Luglio 2007 alle 20:08

   Certo TheKaneB, ma lo era (chiaro) anche prima che ribadissi il concetto. Immaginavo che stessi esagerando volutamente - però - giusto per ridimensionare la portata della vulnerabilità a chi si stava facendo già prendere dalla “paranoia” :P ho voluto puntualizzare.
   I software/estensioni che ho citato precedentemente, come Roboform e Keepass esistono sia per *Nix che per MAC/OSX e Windows.

   Per il resto, condivido il tuo pensiero.
   ;)

6. Exploit scrive:
   23 Luglio 2007 alle 21:07

   Firefox ed il suo password manager

   Il problema sembrava esser stato superato ma ancora una volta Firefox cade su di un bug già sanato in una vecchia versione del browser….

7. Antonio Trigiani w3bL0g - Informatica Virale » Blog Archive » Remote command execution su Firefox 2.0.0.5 scrive:
   25 Luglio 2007 alle 15:19

   [...] Dopo la vulnerabilità del password manager. FireFox (2.0.0.5), Netscape Navigator 9,  Mozilla e altri browsers sono affetti da questa vulnerabilità che permette di eseguire un  attacco “Remote Command Execution” ovvero l’esecuzione di comandi in remoto sul computer attaccato (es. eseguire un’applicazione) . [...]

Scrivi un commento