Grave bug in Firefox ? Forse no…

E’ stato segnalato un nuovo “Traversal Path” in Firefox 2.0.0.12. Il bug permette, mediante l’uso del meccanismo per la visualizzazione dei sorgenti delle pagine, di utilizzare il protocollo resource://, in parole più semplici, è possibile visualizzare i file situati nella cartella di installazione di Firefox (di solito C:\Programmi\Mozilla Firefox). Qui trovate un proof of concept (sono due righe di codice Javascript 😛 ).

Nonostante da più parti sia stato consigliato un rilascio immediato della patch per questo bug, Mozilla non sembra intenzionata a dare troppa importanza a questo problema. Ecco il pensiero di a riguardo:

In this case, it appears to me as though Ronald is simply mistaken. The files to which Ronald demonstrates access do not have the user’s settings, though he claims otherwise. Those files (the user’s data) are not stored in the Program Files hierarchy on Windows, or the equivalent on other operating systems. Instead, the preference files that he is showing in his “exploit” are ones that are defaults that are shipped with Firefox, and made freely available on the web. Again, these are not user settings, but defaults that are shipped with all copies of Firefox and contain no personal information.

(NB: this issue should not be confused with the recent “flat chrome” directory traversal vulnerability that affected users of some extensions, and which 2.0.0.12

In breve: «Quanto provato da Ronald è che Firefox permette l’accesso ai file situati nella cartella del programma, questi file non contengono informazioni o dati personali ed il loro contenuto è liberamente reperibile sul Web. Ben diverso il bug, risolto dalla versione 2.0.0.12, che permetteva di accedere ad informazioni personali.»

In altre parole, anche se la cosa è fastidiosa, sembrerebbe, secondo Mozilla, molto meno grave del previsto. Consiglio di leggere la discussione sul blog di Mike Shaver, io personalmente spero venga risolto comunque, non è mai bello che un sito abbia accesso in lettura ai file su disco. In ogni caso, non sembrerebbe un bug a cui verrà data una grossa priorità, in accordo con il commento di Boris:

take, I didn’t miss the point at all. Reading this file tells the site absolutely nothing they didn’t already know. They could just as easily get this file by getting it via http from bonsai, pulling it directly from the CVS repository.

I agree that it’s not great that even this completely safe read is allowed, because it makes a trifle harder to prove that unsafe ones are not allowed, and the added complication in the proof confuses people at tomes. So we’re working on disallowing it at some point. But since it is completely safe, this is a low priority endeavour.

Quindi, a meno che Ronald van den Heetkamp, come lascia intendere sul suo post, non proponga un attacco ben più serio che sfrutti tale vulnerabilità, non ci si deve aspettare che venga rilasciata a breve una nuova versione di Firefox.

Link di approfondimento:
Segnalazione del bug da parte di Ronald van den Heetkamp,
Mike Shaver: sourceresource vulnerability does-not expose personal-information
via Foxiewire

Technorati Tags: , , ,

0 Responses to “Grave bug in Firefox ? Forse no…”


  • No Comments

Leave a Reply