Bug: Dialog Spoofing per Firefox

closeQuesto articolo è stato pubblicato 9 anni 10 mesi 15 giorni fa! Nel mondo HiTech tutto questo tempo equivale ad ere geologiche. Per tanto ricorda che la notizia può essere passata, smentita o annullata!! Quindi effettua altre ricerche nel sito prima di raccontarlo ai tuoi amici!! Potresti fare una figuraccia...

Uno dei più noti ricercatori israeliano sulla sicurezza, Aviv Raff, ha localizzato una vulnerabilità che permetterebbe ad utenti malintenzionati di beffare e di ottenere informazioni sensibili della vittima designata. Il problema è dovuto ad una mancata validazione di un campo di errore su Firefox.

Raff ha affermato che le versioni vulnerabili sono praticamente tutte quelle rilasciate fino ad ora. Sul suo blog (vedi articolo) si leggono tutti i dettagli della vulnerabilità.

All’interno dell’articolo Aviv Raff scrive: “An attacker creates a web page with a link to a trusted website (e.g. Bank, PayPal, Webmail, etc.). When the victim clicks on the link, the trusted web page will be opened in a new window, and a script will be executed to redirect the new opened window to the attacker’s web server, which will then return the specially crafted basic authentication response.”.

Traduzione (non letterale): “Un utente malintenzionato può creare una pagina web nella quale può inserire un link ad un sito famoso (tipo:PayPal, Ebay, siti di banche…). Quando l’utente vittima clicca sul collegamento questa pagina viene aperta in una nuova finestra, lo script poi effettua un redirect ed apre in una nuova pagina il form di autenticazione falso appositamente creato”.

Vediamo ora come è possibile sfruttare questo bug, seguendo i dettagli che Raff ha scritto nel suo articolo.

Il bug presente in Firefox è causato da una non corretta validazione del campo dell’intestazione: “WWW-Authenticate”. Questo campo è alla base della “Basic Authentication” e va inserito prima dell’intestazione HTTP (vedi approfondimento RFC in lingua inglese).

Ora questo campo prevede un contenuto [Basic realm=”XXX”] (senza le parentesi quadre, ndr). Il contenuto da noi rappresentato con le tre “X” può essere modificato a piacere. In quanto Firefox convalida solamente il contenuto delle virgolette (“) e non quello degli apici (‘)!

Proprio questa possibilità permetterebbe ad un utente malintenzionato l’esecuzione dello Spoofing (vedi approfondimento Spoofing su Wikipedia).

Al momento la Mozilla non ha ancora rilasciato una patch o un aggiornamento, per tanto vi consigliamo di non inserire dati sensibili su finestre di dialogo aperte in nuove pagine, diverse da quelle di effettiva provenienza.

Aviv Raff ha anche inserito un video su Youtube in cui mostra il funzionamento del bug: http://www.youtube.com/watch?v=NaCPw1s3GFw.

Tu cosa ne pensi?