Scoperto un problema di sicurezza di Firefox

FirefoxTreatpost segnala un problema di sicurezza che interessa tutte le versioni di Firefox scoperto da Armorize.

Il browser non controlla gli indirizzi offuscati a cui si accede attraverso IFRAME, permettendo ad un attaccante di confondere o nascondere l’indirizzo del sito che si sta effettivamente visitando.

Gli attacchi attraverso l’utilizzo di IFRAME o di indirizzi offuscati o indirizzi che traggono in inganno non sono certo una novità. Firefox esegue alcuni controlli per verificare se un indirizzo è stato offuscato oppure se l’utente potrebbe essere ingannato e mostra gli opportuni avvisi.

Armorize ha scoperto che se viene utilizzato un indirizzo offuscato all’interno di un IFRAME, Firefox non mostra il consueto messaggio di avviso, permettendo a malintenzionati di portare gli utenti su siti civetta o consentendo altri tipi di attacco.

Bugzilla, il sistema di segnalazione dei bug di Firefox, contiene già un caso relativo a questo problema. (via Slashdot)

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

2 pensieri riguardo “Scoperto un problema di sicurezza di Firefox”

  1. Ma gli altri browser lo fanno?
    Oltre all’iframe, mi sembra relativamente semplice – e difficile da controllare – caricare la pagina offuscata con comandi ajax/JavaScript.
    Ho l’impressione che se si inseguono queste cose sarà una corsa infinita.

  2. La sicurezza e’ sempre una corsa infinita e lo e’ quasi per definizione.
    Usando le impostazioni standard dei browser, con AJAX non puoi “uscire” dal dominio in cui ti trovi perche’ XMLHttpRequest non te lo permette (piu`). Credo che in MSIE si possa abbattere questa barriera disattivando ogni tipo di controllo, almeno era possibile fino alla 6.0, ma nessuna persona sana di mente farebbe una cosa del genere se non per fare dei test.

Spazio per un commento