Warning, world wide web development

Firefox 2.0.0.5 & Safari: una falla permette di rubare le password


Come già successo non molto tempo fà per la versione di Firefox 2.0.0.0, oggi la storia si ripete ma con la versione 2.0.0.5 e con Safari. I ricercatori della heise-security hanno scoperto oggi quasi la stessa falla. Essa risiede nel password manager di Firefox e funziona se l'utente acconsente a salvare la password per un particolare sito. Poiché firefox riempie i campi di una form automaticamente una volta salvati i dati (user e pwd relative al sito) nelle quali sono presenti campi aventi lo stesso "name" (Ex. <input name="user"... ) Specialmente nelle nuove web community, un aggressore potrebbe emulare la form di login per rubare i dati di accesso, che sono automaticamente riempiti da firefox e inviati al suo server. Nel passato, simile vulnerabilità permetteva di inviare i dati direttamente al server dell'aggressore non appena si cliccava sul submit. Comunque, gli sviluppatori lo fixarono e ora c'é un controllo della destinazione a cui i dati sono inviati; Markus Bucher ,però, ha notato che non è necessario cambiare la destinazione dei dati inviati: piuttosto, è possibile leggere i dati immessi via javascript che li ripresenterà sotto una forma "evil". Ovvero è possibile utilizzare un altra pagina es page2 in cui sia presente una fake login uguale a quella di page1. In questo modo i vostri dati potrebbero essere rubati. Praticamente, la pagina semplicemente deve accedere ai dati via DOM (il document.<form>.<field>. value). POC

Salvando la password nel password manager e cliccando su una page2 che riporta il fake login avremo

Al momento non è stata rilasciata alcuna patch o fix del bug che affligge tra l'altro, come su menzionato, anche Safari.

Tags: , ,

Articoli correlati

  • Remote command execution su Firefox 2.0.0.5
  • Wikio vulnerabile ad attacchi XSS.
  • Google Browser Sync Firefox extension
  • Twitbin e lo sniffing delle password in chiaro tramite POST
  • Grosso bug in firefox 2.0
  • Seguici Tramite Feed Rss Se ti è piaciuto questo articolo, seguici


    7 Commenti a “Firefox 2.0.0.5 & Safari: una falla permette di rubare le password”

    1. Il blog di Guido Arata: diffusione-del-sapere-informatico: news-exploit-bug-sicurezza-informatica-programmazione scrive:

      [...] per TechNotizie sono finito sul blog di Antonio, che segnala la presenza di un nuovo bug, scovato dagli esperti del settore, insito nell’ultima versione [...]

    2. TheKaneB scrive:

      Credo che la funzione di salvataggio delle password sia fonte di insicurezza “by design”. Bisognerebbe fare un controllo anche sull’autenticità del dominio, quindi in teoria solo le pagine autenticate con SSL dovrebbero consentire il giusto grado di affidabilità. Firefox dovrebbe salvare le password soltanto sulle pagine criptate (con chiave trusted).

    3. al0ha scrive:

      Ciao TheKaneB, io non sarei così esagerato da implementare SSL su ogni dominio per una falla che probabilmente verrà fixata nella prossima release di FF.
      :)
      Per adesso le uniche soluzioni che consiglierei sono disabilitare Javascript (cosa difficilmente proponibile visto il largo uso che se ne fa dello stesso nel web odierno), utilizzare un password manager esterno come Roboform o Sticky Password (entrambi a pagamento) oppure provare un software gratuito e open-source KeePass (c’é anche una versione stand-alone per avere le pwd su supporto USB), oppure NON salvare le password nel password manager e/o cancellarle fino al rilascio di un rilascio di Firefox 2.0.0.6.

    4. TheKaneB scrive:

      al0ha: hai perfettamente ragione, non è umanamente possibile implementare SSL su tutti i dominii, infatti non è una soluzione la mia, ma solo una constatazione oggettiva dei fatti. Non so per quanto riguarda windows, ma su linux esistono diversi programmi free (gratuiti e liberi) che funzionano da “portachiavi” e criptano le password di siti internet, connessioni wireless, bancomat, di tutto e di più, con algoritmi a chiave asimmetrica di sicurezza militare. Il problema non è “conservare le password” ma evitare che cadano in mani sbagliate, firefox può controllare che al 90% il sito sia affidabile con i più sofisticati algoritmi, ma la “certezza matematica” si può avere solo con le connessioni cifrate.
      Detto questo ribadisco che IMHO non è una falla di sicurezza quella di firefox, ma la funzionalità stessa di “salvataggio password” è intrinsecamente insicura quando è associata a pagine non cifrate! Spero di aver reso meglio il mio pensiero :)

    5. al0ha scrive:

      Certo TheKaneB, ma lo era (chiaro) anche prima che ribadissi il concetto. Immaginavo che stessi esagerando volutamente - però - giusto per ridimensionare la portata della vulnerabilità a chi si stava facendo già prendere dalla “paranoia” :P ho voluto puntualizzare.
      I software/estensioni che ho citato precedentemente, come Roboform e Keepass esistono sia per *Nix che per MAC/OSX e Windows.

      Per il resto, condivido il tuo pensiero.
      ;)

    6. Exploit scrive:

      Firefox ed il suo password manager

      Il problema sembrava esser stato superato ma ancora una volta Firefox cade su di un bug già sanato in una vecchia versione del browser….

    7. Antonio Trigiani w3bL0g - Informatica Virale » Blog Archive » Remote command execution su Firefox 2.0.0.5 scrive:

      [...] Dopo la vulnerabilità del password manager. FireFox (2.0.0.5), Netscape Navigator 9,  Mozilla e altri browsers sono affetti da questa vulnerabilità che permette di eseguire un  attacco “Remote Command Execution” ovvero l’esecuzione di comandi in remoto sul computer attaccato (es. eseguire un’applicazione) . [...]

    Scrivi un commento

    Close
    E-mail It