Firefox 2.0.0.5 & Safari: una falla permette di rubare le password

By al0ha Luglio 22, 2007 Post a comment

Come già successo non molto tempo fà per la versione di Firefox 2.0.0.0, oggi la storia si ripete ma con la versione 2.0.0.5 e con Safari. I ricercatori della heise-security hanno scoperto oggi quasi la stessa falla.

Essa risiede nel password manager di Firefox e funziona se l’utente acconsente a salvare la password per un particolare sito. Poiché firefox riempie i campi di una form automaticamente una volta salvati i dati (user e pwd relative al sito) nelle quali sono presenti campi aventi lo stesso “name” (Ex. <input name=”user”… )

Specialmente nelle nuove web community, un aggressore potrebbe emulare la form di login per rubare i dati di accesso, che sono automaticamente riempiti da firefox e inviati al suo server. Nel passato, simile vulnerabilità permetteva di inviare i dati direttamente al server dell’aggressore non appena si cliccava sul submit. Comunque, gli sviluppatori lo fixarono e ora c’é un controllo della destinazione a cui i dati sono inviati; Markus Bucher ,però, ha notato che non è necessario cambiare la destinazione dei dati inviati: piuttosto, è possibile leggere i dati immessi via javascript che li ripresenterà sotto una forma “evil”. Ovvero è possibile utilizzare un altra pagina es page2 in cui sia presente una fake login uguale a quella di page1. In questo modo i vostri dati potrebbero essere rubati.

Praticamente, la pagina semplicemente deve accedere ai dati via DOM (il document.<form>.<field>. value).

POC

Salvando la password nel password manager e cliccando su una page2 che riporta il fake login avremo

Al momento non è stata rilasciata alcuna patch o fix del bug che affligge tra l’altro, come su menzionato, anche Safari.

  • Print this article!
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Google Bookmarks
  • Technotizie
  • FriendFeed
  • IndianPad
  • Live
  • Netvibes
  • Netvouz
  • NewsVine
  • Reddit
  • Segnalo
  • Slashdot
  • StumbleUpon
  • Twitter
  • Yahoo! Bookmarks

Commenti

  1. 7 comments su “Firefox 2.0.0.5 & Safari: una falla permette di rubare le password”

  1. [...] per TechNotizie sono finito sul blog di Antonio, che segnala la presenza di un nuovo bug, scovato dagli esperti del settore, insito nell’ultima versione [...]

    Posted by Il blog di Guido Arata: diffusione-del-sapere-informatico: news-exploit-bug-sicurezza-informatica-programmazione | Luglio 22, 2007, 11:28

  2. Credo che la funzione di salvataggio delle password sia fonte di insicurezza “by design”. Bisognerebbe fare un controllo anche sull’autenticità del dominio, quindi in teoria solo le pagine autenticate con SSL dovrebbero consentire il giusto grado di affidabilità. Firefox dovrebbe salvare le password soltanto sulle pagine criptate (con chiave trusted).

    Posted by TheKaneB | Luglio 22, 2007, 17:06

  3. Ciao TheKaneB, io non sarei così esagerato da implementare SSL su ogni dominio per una falla che probabilmente verrà fixata nella prossima release di FF.
    :)
    Per adesso le uniche soluzioni che consiglierei sono disabilitare Javascript (cosa difficilmente proponibile visto il largo uso che se ne fa dello stesso nel web odierno), utilizzare un password manager esterno come Roboform o Sticky Password (entrambi a pagamento) oppure provare un software gratuito e open-source KeePass (c’é anche una versione stand-alone per avere le pwd su supporto USB), oppure NON salvare le password nel password manager e/o cancellarle fino al rilascio di un rilascio di Firefox 2.0.0.6.

    Posted by al0ha | Luglio 23, 2007, 17:42

  4. al0ha: hai perfettamente ragione, non è umanamente possibile implementare SSL su tutti i dominii, infatti non è una soluzione la mia, ma solo una constatazione oggettiva dei fatti. Non so per quanto riguarda windows, ma su linux esistono diversi programmi free (gratuiti e liberi) che funzionano da “portachiavi” e criptano le password di siti internet, connessioni wireless, bancomat, di tutto e di più, con algoritmi a chiave asimmetrica di sicurezza militare. Il problema non è “conservare le password” ma evitare che cadano in mani sbagliate, firefox può controllare che al 90% il sito sia affidabile con i più sofisticati algoritmi, ma la “certezza matematica” si può avere solo con le connessioni cifrate.
    Detto questo ribadisco che IMHO non è una falla di sicurezza quella di firefox, ma la funzionalità stessa di “salvataggio password” è intrinsecamente insicura quando è associata a pagine non cifrate! Spero di aver reso meglio il mio pensiero :)

    Posted by TheKaneB | Luglio 23, 2007, 17:59

  5. Certo TheKaneB, ma lo era (chiaro) anche prima che ribadissi il concetto. Immaginavo che stessi esagerando volutamente – però – giusto per ridimensionare la portata della vulnerabilità a chi si stava facendo già prendere dalla “paranoia” :P ho voluto puntualizzare.
    I software/estensioni che ho citato precedentemente, come Roboform e Keepass esistono sia per *Nix che per MAC/OSX e Windows.

    Per il resto, condivido il tuo pensiero.
    ;)

    Posted by al0ha | Luglio 23, 2007, 20:08

  6. Firefox ed il suo password manager

    Il problema sembrava esser stato superato ma ancora una volta Firefox cade su di un bug già sanato in una vecchia versione del browser….

    Posted by Exploit | Luglio 23, 2007, 21:07

  7. [...] Dopo la vulnerabilità del password manager. FireFox (2.0.0.5), Netscape Navigator 9,  Mozilla e altri browsers sono affetti da questa vulnerabilità che permette di eseguire un  attacco “Remote Command Execution” ovvero l’esecuzione di comandi in remoto sul computer attaccato (es. eseguire un’applicazione) . [...]

    Posted by Antonio Trigiani w3bL0g - Informatica Virale » Blog Archive » Remote command execution su Firefox 2.0.0.5 | Luglio 25, 2007, 15:19

Inserisci un commento