PUBLIC MARKS from user gialloporpora with tag bug

AGGIORNAMENTO: in realtà ci sono stati sviluppi riguardanti il bug dei Firefox URI (che è stato corretto nella versione 2.0.0.5) e che attribuiscono totalmente la responsabilità al browser Mozilla. A questo si aggiunga il fatto che Firefox tiene lo stesso comportamento di IE, rendendo inutile lo stratagemma dell'escaping dei caratteri Potete leggere anche questo post che entra nei dettagli riguardo la registrazione dell'URI handler e di come avviene il passaggio dei dati dall'applicazione chiamante a quella chiamata. La nuova versione di Firefox sistema, fra gli altri, il bug riguardante il Firefox URI, di cui avevo parlato poco tempo fa, ora però sembra che Firefox non sia l'unica applicazione che può essere sfruttata per eseguire chiamate arbitrarie utilizzando IE come vettore: However, I can still automatically launch a wide range of external applications from Internet Explorer and provide them with arbitrary command line arguments. AcroRd32.exe (Adobe Acrobat PDF Reader), aim.exe (AOL Instant Messenger), Outlook.exe, msimn.exe (Outlook Express), netmeeting.exe, HelpCtr.exe (Windows Help Center), mirc.exe, Skype.exe, wab.exe (Windows Address Book) and wmplayer.exe (Windows Media Player) - just to name a few :) In altre parole usando IE tali applicazioni (e probabilmente non sono le uniche) possono essere richiamate e sfruttate per portare un attacco al vostro computer. Microsoft non ritenendo questo un problema specifico di IE, ma bensì delle applicazioni chiamate, si rifiuta di mettere una pezza facendo in modo che IE gestisca in modo più intelligente le chiamate. Conclusione: anche se la responsabilità non è di Internet Explorer, utilizzando questo browser (e solamente questo) è possibile sfruttare praticamente tutte le applicazioni installate sul vostro PC per portare a segno un attacco. Soluzione: non usate Internet Explorer, almeno fino a quando non sarete certi che tutte le applicazioni installate sul vostro PC saranno in grado di rifiutare le chiamate fatte da IE stesso :-P. Fra l'altro, dando una rapida occhiata alle applicazioni vulnerabili, sembra che microsoft dia pure il cattivo esempio. Fonte: pseudotecnico blog

La notizia ha or mai già fatto il giro del mondo, in ogni caso, ne parlo solo per cercare di proporre una toppa momentanea. La vulnerabilità permette di eseguire codice maligno sfruttando Firefox, ma per essere attivata è necessario utilizzare Internet Explorer (o eventuali altri browser che associno il protocollo firefox:// a Firefox senza filtrare la richiesta). Si è discusso molto su chi fosse il vero responsabile, inizialmente è stato segnalato come un bug del browser di casa Microsoft, successivamente la responsabilità è stata adossata quasi totalmente al navigatore di casa Mozilla. Per saperne di più vi rimando a questo interessante articolo su mozillalinks. Una cosa deve essere ben chiara: se usate Firefoxx non correte nessun pericolo, l'exploit viene attivato tramite Internet Explorer, probabilmente anche usando IETab (ma non ho provato in quanto non uso l'estensione) si può essere a rischio di attacchi. Una soluzione proposta è quella di cancellare la chiave di registro: HKEY_CLASSES_ROOTFirefoxURL. io posso consigliarvi di provare a lanciare Internet Explorer (se proprio non riuscite a farne a meno) usando questo file BAT: echo off REN "C:ProgrammiMozilla Firefoxfirefox.exe" panda_rosso.lock "C:ProgrammiInternet Exploreriexplore.exe" REN "C:ProgrammiMozilla Firefoxpanda_rosso.lock" firefox.exe Naturalmente se avete IE o Firefox installati in cartelle diverse da quelle indicate dovrete modificare i percorsi. Se avete più di una versione di Firefox installata è possibile che dobbiate rinominare tutti gli eseguibili presenti sul vostro Hard Disk. Se usate una versione portabile di Firefox è possibile che l'exploit non abbia effetto, in quanto, tale versione non dovrebbe registrare chiavi di registro di sistema. AGGIORNAMENTO: se il metodo sopra proposto non vi aggrada cancellate le azioni associate al protocollo firefox://, andando in: Risorse del computer -> Strumenti -> Opzioni cartella -> Tipi di file Proprietà tipi di file quindi dopo aver selezionato la voce "Firefox URL" (come mostrato in figura) cliccate su "Avanzate" e rimuovete le azioni associate al protocollo.firefox:// Equivalente alla cancellazione della voce di registro proposta sopra, ma meno delicata come operazione.