7944 Letture

Firefox: Adobe presenta una sandbox per Flash Player

Come noto, il browser opensource Mozilla Firefox ancora non utilizza alcun meccanismo di sandboxing con lo scopo di chiudere in un recinto sicuro tutti gli elementi prelevati dalla rete Internet durante la navigazione sul web. Si tratta di una mancanza che è stata più volte rimarcata dagli analisti ma che Mozilla, ad oggi, non ha ancora provveduto a sanare. Interessante la recente analisi elaborata da Accuvant (ved. questo nostro articolo) che mette a confronto, nel dettaglio, tutti i principali browser web disponibili sul mercato esaminandone le funzionalità di protezione volte alla sicurezza dell'utente e dei dati memorizzati sul suo sistema.

L'argomento "sandboxing" è stato più volte oggetto di analisi da parte dei ricercatori di sicurezza: già a suo tempo avevamo pubblicato una comparativa tra i principali browser presenti sul mercato. "Le sandbox consentono di alzare notevolmente il livello di sicurezza", aveva fatto presente il noto ricercatore Dino Dai Zovi, "tanto che gli aggressori debbono orientarsi verso altre tipologie di attacco quali, ad esempio, la distribuzione di falsi programmi antivirus (rogue antivirus; ved. questa pagina e quest'articolo)".

I tecnici di Adobe, nelle scorse ore, hanno comunicato di aver rilasciato una versione di Flash Player appositamente pensata per gli utenti di Firefox. La principale novità del plugin che permette la visualizzazione dei contenuti realizzati in formato Flash, consiste nell'aggiunta di un meccanismo di sandboxing mutuato da Adobe Reader X. Se per il momento Firefox non usa una sandbox per l'intero browser, quanto meno si potrà evitare che eventuali creatività Flash malevole possano compiere operazioni all'infuori del "recinto" all'interno del quale vengono eseguite.
Secondo Peleus Uhley, ingegnere software di Adobe, la nuova funzionalità "Protected Mode" della quale è stato arricchito il plugin Flash Player per Firefox ha richiesto all'incirca un anno di sviluppo. L'implementazione, ha dichiarato Uhley, è molto simile a quella usata nel caso di Reader X: "dal momento del suo lancio, datato novembre 2010, non abbiamo rilevato un singolo exploit in grado di dribblare le difese di Adobe Reader X".
Lo sviluppo del nuovo plugin per Firefox sarebbe stato coadiuvato dagli stessi programmatori di Mozilla che hanno risolto alcuni dei principali bug legati all'integrazione con il browser web.


Il plugin Flash Player per Firefox contenente il meccanismo di sandboxing è per il momento ancora in versione "beta" (ved. questa pagina ed è compatibile con la release 4.0 del browser e versioni seguenti.

  1. Avatar
    Marco Giuliani
    09/02/2012 15:09:09
    Punto 1: Firefox ha un supporto parziale ed incompleto al sandboxing, di gran lunga inferiore ai concorrenti Chrome e Internet Explorer per quanto riguarda la sicurezza. Come la stessa Mozilla ha messo in chiaro in più occasioni (e nella pagina da te linkata: "allowing the main Firefox process (firefox.exe) to stay open if a plugin crashes"), la presenza del plugin container come processo separato non è considerata una soluzione di sicurezza ma è considerata esclusivamente una soluzione per salvaguardare la stabilità del browser da eventuali crash causati da plugin esterni dal codice di Firefox Punto 2: Non so chi stia sviluppando il plugin, quello che è certo è che Mozilla, di proprio, de facto non ha ancora rilasciato alcuna soluzione definitiva per il problema sandbox a livello di sicurezza. Neanche a dire che Mozilla non abbia mai preso in considerazione suddetto problema, vista la presenza del progetto Electrolysis, tutt'ora viaggiante su un binario morto Lo scopo di una sandbox è quello di proteggere, gli altri browser hanno inteso come "proteggere" la protezione del sistema, Mozilla ha inteso la protezione del proprio browser. Sono scelte aziendali, di sicuro l'impatto sulla sicurezza del sistema è notevolmente differente
  2. Avatar
    Michele Nasi
    09/02/2012 15:08:47
    Rispondo volentieri al tuo commento. Del plugin container di Mozilla Firefox abbiamo parlato a profusione su IlSoftware.it seguendone lo sviluppo e l'introduzione all'interno del browser. Non mi pare che sia considerabile come una soluzione per il sandboxing dal momento che è stata concepito più che altro per separare il funzionamento dei plugin da quello del browser web vero e proprio (evitare che crash sui singoli plugin possano andare ad impattare sull'intero browser facendolo "crollare"). A tal proposito, vedi l'articolo che pubblicai tempo fa: http://www.ilsoftware.it/articoli.asp?id=6361 Il processo plugin cointainer, inoltre, non viene usato per tutti i plugin ma solo per Flash, Silverlight e Quicktime. Per quanto riguarda il punto 2), anche nell'articolo abbiamo riportato i nomi degli analisti. In primis abbiamo citato Accuvant quindi Marco Giuliani di Webroot che a suo tempo analizzò dettagliatamente il problema della mancanza di una sandbox in Firefox: https://www.pcalsicuro.com/main/2011/03 ... o-vecchio/ Il punto di vista è chiarito anche nell'articolo http://www.ilsoftware.it/articoli.asp?id=6265 che tra l'altro è stato chiaramente linkato nel pezzo che hai commentato e criticato. Firefox non contempla al momento la possibilità di far uso di un meccanismo di sandbox e non "isola" dal resto del sistema le singole schede di navigazione: il browser è eseguito utilizzando un unico processo, avviato con gli stessi privilegi dell'account impiegato dall'utente. E' il progetto "Electrolysis" (https://wiki.mozilla.org/Electrolysis) di Mozilla che avrebbe dovuto portare il sandboxing in Firefox ma il suo sviluppo è da alcuni mesi fermo. Per ciò che concerne il terzo punto, ci si è limitati a riprendere ciò che Mozilla stessa scrive sul suo sito web ufficiale: "Official site of the open-source browser".
  3. Avatar
    disIT
    09/02/2012 12:49:33
    Punto 1 - Firefox HA un supporto al sandboxing anche se non completo dalla versione 4 - ora siamo alla 9. A riprova di questo potete leggere qui: http://support.mozilla.org/en-US/kb/Wha ... -container Il supporto plugin-container è abbastanza evidente, in quanto ogni plugin-container diventa un processo effettivo e visibile da 'ps'(linux), task manager (windows) ed equivalenti per altri OS... Punto 2 - L'articolo dice che gli analisti (senza dire chi ovviamente) hanno fatto notare questa mancanza e che Mozilla non ha risolto il problema. L'autore dice che questa "falla" è stata sistemata nell'ultimo plugin flash. Peccato che il plugin sia sviluppato da Adobe e mantenuto da Adobe. Quindi, se il problema sta nel plugin (di Adobe) e la soluzione sta nel plugin (di Adobe) mi pare ovvio che la colpa sia di Mozilla. Punto 3 - L'autore scrive "il browser opensource Mozilla Firefox" evidenziando la parola firefox. Il browser _Firefox_ non è completamente opensource. _IceWeasel_, per esempio è completamente opensource. Si, questo è l'ultimo punto perchè in realtà open o no frega a pochi. Scusate l'acidità ma a volte si possono anche rileggere i propri articoli prima di pubblicarli, credo. Il termine sandbox si può riferire a soluzioni tecniche diverse e implementate nelle maniere più disparate. L'autore non spiega cosa intende per sandbox e apparentemente non fa differenza tra browser e plugin, cosa assolutamente inconcepibile per un sito che fa recensioni di software.
  4. Avatar
    melfitanus
    08/02/2012 15:42:08
    Qualcuno può spiegarmi, per favore, per quale ragione Mozilla non colma la lacuna "sandbox", giudicata così tanto importante dagli addetti ai lavori? Non ne è capace, non ha risorse, la struttura di firefox è un ostacolo tecnico insormontabile?
Firefox: Adobe presenta una sandbox per Flash Player - IlSoftware.it