Valutazione 4.87/ 5 (100.00%) 5838 voti
News: tutti i segreti di Internet

Vulnerabilità UI per Mozilla e Mozilla Firefox

Condividi:         Xanathar 11 30 Luglio 04 @ 20:00 pm

Una vulnerabilità nuova per Mozilla e Mozilla Firefox permette (purtroppo) a siti malintenzionati di alterare l'interfaccia utente del browser.

Il problema è che Mozilla (e Firefox) non impediscono a siti web di includere script XUL (XML User Interface Files) arbitrari. Questo può essere sfruttato per modificare abusivamente qualunque elemento di interfaccia utente, incluse toolbar, dialoghi di certificati SLL, barra degli indirizzi e altro, controllando quindi tutto ciò che l'utente vede.

E'disponibile un proof of concept (in pratica una dimostrazione) che simula un sito PayPal con sicurezza SSL.

Secunia (qui in italiano)



11 commenti a "Vulnerabilità UI per Mozilla e Mozilla Firefox":
Dylan666 Dylan666 il 30 Luglio 04 @ 15:54 pm

Siamo già a quota 3 bug segnalati solo su queste news. È bastato sponsorizzare un po' di più Mozilla come browser per far spuntare poco a poco le magagne. In molti casi la minore visibilità non è la sola ragione di sicurezza (vedi Linux) ma questo sembra porprio il caso... Quando i programmatori di spyware se ne accorgeranno sarà finita la pacchia e toccherà di nuovo emigrare su un'altro browser, magari meno sopravvalutato...

Xanathar Xanathar il 30 Luglio 04 @ 19:54 pm

Ti dirò che anche Linux ha le sue belle magagnette. Ovviamente ben poche nel kernel (ma anche bug nel Kernel di Windows siano pochini) ma tante tante tante in quei programmi inclusi nelle più comuni distribuzioni.
Quello che cambia sono due cose : 1) un rapida reazione ai bug che stanno ben poco senza un'opportuna fix e 2) un'utenza più esperta e attenta.. oltre al già citato fattore della minor diffusione. In cattiveria aggiungerei anche una comunità che tende a lasciar correre sul quel lato ma che bastona molto di più la Microsoft quando cade in fallo..

Per darti un'idea della proporzione eccoti gli ultimi giorni su Secunia :

2004-07-30
- DansGuardian Banned Extension Filter Bypass Vulnerability
- lostbook Script Insertion Vulnerability
- LinPHA User Authentication Bypass Vulnerability
- Mozilla / Mozilla Firefox User Interface Spoofing Vulnerability
- Gentoo update for phpMyAdmin
- Red Hat update for ipsec-tools
- Red Hat update for SoX
- Mandrake update for wv

2004-07-29
- IBM HTTP Server Input Header Folding Denial of Service Vulnerability
- Mandrake update for sox
- UnixWare update for tcpdump
- SCO OpenServer update for sendmail
- Check Point VPN-1 ASN.1 Decoding Heap Overflow Vulnerability
- Fedora update for sox
- SoX ".WAV" File Processing Buffer Overflow Vulnerabilities

2004-07-28
- Mandrake update for mod_ssl
- Mandrake update for webmin
- Mandrake update for postgresql
- HP-UX CIFS Server Buffer Overflow Vulnerability
- Nucleus "itemid" SQL Injection Vulnerability
- Hitachi Web Page Generator Multiple Vulnerabilities

2004-07-27
- FTPGlide Exposure of Passwords
- ASPRunner Multiple Vulnerabilities
- Gentoo update for pavuk
- Opera Browser Address Bar Spoofing Vulnerability
- Gentoo update for subversion
- Apple Mac OS X Internet Connection Privilege Escalation
- Mensajeitor "AdminNick" Administrative User Spoofing Vulnerability
- Pavuk Digest Authentication Buffer Overflow Vulnerabilities
- FTP Surfer File Handling Buffer Overflow Vulnerability
- Trustix update for samba
- phpMyFaq ImageManager Plugin Missing User Authentication
- HP OpenVMS DCE Buffer Overflow Vulnerability
- Microsoft Systems Management Server Remote Control Service Vulnerability



Come vedi c'è di tutto e di più. A vantaggio delle distro Linux va detto che molti di quei bug sono su prodotti non installati di default e riportati più volte per le varie distro. A svantaggio di tutti noi la lunghezza della lista, che indipendentemente da chi ne sia la causa è troppo troppo lunga :(
La cosa che trovo assurda e preoccupante è il numero di falle che riguardano i browser...

Dylan666 Dylan666 il 31 Luglio 04 @ 03:34 am

Alla fine Firefox come browser non è il massimo (non riesce nemmeno a stampare una pagina decentemente) e lo usavo solo per il fattore sicurezza. Ma se devo cominciare a aggiornarlo tutti i giorni (non importa quanto tempestivamente rispetto alla scoperta del bug) rischiando di incappare in bug tanto grossi da riguardare l'emulazione pagine e le transizioni SSL( e pensare che c'è chi lo ha messo ai propri dipendenti proprio per evitare truffe di questo tipo!)comincerò seriamente a pensare a Opera...

magilvia magilvia il 03 Agosto 04 @ 11:01 am

LOL Dylan non é per cominciare una discussione con te anche su un'altra news :) però secondo me firefox é 10 volte migliore di IE per la navigazione, ovvero é il massimo! Hai provato a dare una scorsa alle extension? Sono fenomenali e permettono di fare di tutto:
- navigazione mediante gesti della mano
- aiuti nella compilazione dei forum
- ad blocking
- apertura di più link contemporaneamente in nuove tab
- salvataggio / ripristino automatico della sessione di navigazione
- flash blocking
- ecc ecc ecc

Io non riuscirei a tornare indietro a IE

Hai ragione però ci sono (poche) pagine che non sono rese bene ma questo é colpa del sito che non é HTML WC3 compatibile, non di firefox.

magilvia magilvia il 03 Agosto 04 @ 11:06 am

AH dimenticavo ho provato una versione compilata con supporto alle SSE2 ed é talmente veloce a visualizzare le pagine che mi sono spaventato ;) Questa versione é stata compilata da un utente grazie al fatto che firefox é opensource

Xanathar Xanathar il 03 Agosto 04 @ 13:10 pm

Questione di opinioni :) Io per avere un browser decente sono arrivato pure a pagare (uso Opera :))

Dylan666 Dylan666 il 04 Agosto 04 @ 00:22 am

@ magilvia: ma chi ha parlato delle funzionalità? Chi ha mai messo in dubbio la varietà dei plug-in?

L'articolo era sulla SICUREZZA e i commenti erano sulla SICUREZZA... Tanta velocità di navigazione e bug grossi come una casa equivalgono a guidare una Ferrari coi freni rotti!

magilvia magilvia il 04 Agosto 04 @ 17:08 pm

Dalla tua frase non sembrava parlassi solo di sicurezza. Comunque se permetti un bug che ti scasina l'intefaccia io non lo definirei grosso come una casa. Bug che permettono i siti di rubare password e carte di credito sono molto peggio. E comunque il supporto (finora) di patch è stato moooolto più veloce in FF che in IE.

Dylan666 Dylan666 il 04 Agosto 04 @ 20:32 pm

Bug che permettono i siti di rubare password e carte di credito sono molto peggio."

Forse non hai letto bene la news:

Questo può essere sfruttato per modificare abusivamente qualunque elemento di interfaccia utente, incluse toolbar, dialoghi di certificati SLL, barra degli indirizzi e altro, controllando quindi tutto ciò che l'utente vede.

Questo vuol dire appunto fare in modo di spacciarsi per il sito della banca dell'utente e emulare le transizioni SSL per impadronirsi di codici usati per pagamenti on-line, operazioni bancarie ecc...
E scusa se è poco!

Issivan Issivan il 04 Novembre 07 @ 18:54 pm

ti posso solo dire che ie porlo versione 6 la 7 nn l'ho testata tanto rispetto a Mozzilla è merda nel vero senso della parola. Se dovessi usare un browser x fare delle cose malintenzionate userei IE come del resto fanno tutti. IE 7 blocca anche troppo tutti i siti.Ciao

Issivan Issivan il 04 Novembre 07 @ 18:55 pm

ti posso solo dire che ie porlo versione 6 la 7 nn l'ho testata tanto rispetto a Mozzilla è merda nel vero senso della parola. Se dovessi usare un browser x fare delle cose malintenzionate userei IE come del resto fanno tutti. IE 7 blocca anche troppo tutti i siti.Ciao

Lascia un commento

Insulti, volgarità e commenti ritenuti privi di valore verranno modificati e/o cancellati.
Nome:

Commento:
Conferma visiva: (ricarica)

Inserisci la targa della città indicata nell'immagine.

Login | Iscriviti

Username:

Password: