Brutto bug in Firefox: file locali sottraibili da remoto

Mozilla invita gli utenti di Firefox ad aggiornare immediatamente il browser all'ultima versione 39.

Mozilla invita gli utenti di Firefox ad aggiornare immediatamente il browser all’ultima versione 39.0.3 (vedere questa scheda) o, al limite, a Firefox ESR (Extended Support Release, la versione con supporto a lungo termine principalmente indicata per le aziende) 38.1.1.

L’esortazione, che ha quasi dell’imperativo, è giustificata dalla scoperta di una pericolosa vulnerabilità che permette ad un aggressore remoto di leggere e sottrarre il contenuto di molti file memorizzati sul sistema locale dell’utente.
Password, credenziali d’accesso e dati sensibili posso così cadere preda dei malintenzionati semplicemente visitando una pagina web contenente il codice dannoso per sfruttare la lacuna di sicurezza.

Il quadro è ulteriormente aggravato dal fatto che la vulnerabilità in questione non è stata individuata “in laboratorio” o comunque segnalata responsabilmente a Mozilla.
Tutt’altro. Appena un paio di giorni fa un utente di Firefox (aggiornato alla versione più recente) ha segnalato che visitando un sito di news russo, il contenuto di alcuni file memorizzati in locale era stato improvvisamente caricato su server remoti, senza alcun genere di interazione ed autorizzazione.

Mozilla ha immediatamente avviato le verifiche del caso confermando che uno o più gruppi di criminali informatici stanno già usando il codice exploit per sottrarre dati personali dai sistemi degli utenti che usano Firefox.

Dagli esami condotti nelle scorse ore è emerso che gli aggressori stanno rastrellando (sui sistemi Windows), attraverso le versioni di Firefox antecedenti alla 39.0.3 ed alla ESR 38.1.1 (appena rilasciate ed esenti dal grave problema di sicurezza), password di FileZilla (leggendone il file di configurazione memorizzato in locale in forma non cifrata) e di altri client FTP, del client di messaggistica Pidgin oltre che quelle del client PSI+.

Su Linux, invece, gli aggressori stanno sottraendo il contenuto di /etc/passwd, le impostazioni di MySQL, i file di configurazione e le chiavi per l’accesso a server via SSH, le password di FileZilla e tutti i file contenenti le stringhe “pass” o “access” nei loro nomi.

Alla radice del problema vi è una lacuna nella cosiddetta same origin policy di Firefox: sfruttando il bug di sicurezza una pagina web malevola può utilizzare il visualizzatore di file PDF integrato nel browser per leggere il contenuto dei file memorizzati in locale.

Quella chiamata same origin policy è una regola di cruciale importanza nel caso dei browser web: agli elementi che compongono una pagina web (ad esempio il codice JavaScript) viene concessa l’autorizzazione per l’accesso esclusivo alle risorse veicolate dalle pagine dello stesso sito. Non è invece assolutamente permesso l’accesso alle risorse di altri siti, visualizzate ad esempio nelle pagine HTML aperte nelle altre schede del browser. Quando la regola può essere in qualche modo violata, ad esempio sfruttando una lacuna di sicurezza, vengono ad evidenziarsi vere e proprie voragini sul versante sicurezza, come nel caso di specie.

Per mettersi al sicuro, è sufficiente aggiornare all’ultima versione di Firefox, appena rilasciata. Versioni del browser (come quella per Android, ad esempio), che non integrano il visualizzatore di file PDF sono al sicuro da qualche rischio d’attacco.

Chi volesse disattivare completamente il visualizzatore PDF di Firefox può digitare about:config nella barra degli indirizzi, cercare il parametro pdfjs.disabled quindi farvi doppio clic per impostarlo su true.

Ti consigliamo anche

Link copiato negli appunti