Firefox 2 bucabile via Internet Explorer

Leggevo poco fa qui e qui della scoperta di una falla “altamente critica” di Firefox che permetterebbe l’esecuzione di codice arbitrario, semplicemente cliccando in Internet Explorer un link costruito ad-hoc (tecnica di cross browser scripting).

Da buon smanettone chiaramente ho voluto testare subito la cosa collegandomi con Internet Explorer su questa pagina che contiene un link innocuo di esempio che dovrebbe far aprire semplicemente il prompt dei comandi sfruttando la suddetta falla.

Il test è stato fatto su un pc con Windows XP HE SP2, Comodo Personal Firewall 2.4.18.184 , IE6, FireFox 2.0.0.4 con l’estensione NoScript installata e impostata su “Disattiva gli script globalmente”. Per eseguire il test occore chiudere tutte le sessioni di FireFox ed aprire IE.

Appena ho cliccato su Internet Explorer questo link di test (che ripeto è innocuo), subito Comodo Personal Firewall mi ha avvisato dell’invocazione di FireFox da parte di IE e questo già dovrebbe far insospettire:

alert-comodo.png

Da buon temerario ho accettato comunque di proseguire per vedere se la falla si attivava.

Firefox si è aperto e subito è comparsa questa finestra:

alert2.png

Tale finestra ci dice chiaramente che se questa richiesta di eseguire un’applicazione esterna non era attesa conviene annullare.
Premendo Annulla ovviamente la falla non ha effetto.

Senza premere nulla comunque mi è subito comparsa la seguente finestra (cliccare per ingrandire):

alert3.png

Ciò è dovuto all’intervento dell’utilissima estensione NoScript che ha impedito l’esecuzione del codice JavaScript iniettato attraverso l’uri malformata che avrebbe dovuto attivare la falla.

Provando a disattivare NoScript (con l’impostazione attiva gli script globalmente) FireFox è stato bucato e si è aperto il prompt dei comandi.

Il mio consiglio quindi è quello di installare NoScript in modo da autorizzare l’esecuzione degli script solo sui siti di cui ci fidiamo ciecamente.
Non sarebbe male inoltre installare anche Comodo Personal Firewall, un ottimo firewall gratuito, di cui vi scrissi in precedenza.

 

Una Risposta to “Firefox 2 bucabile via Internet Explorer”

  1. Genesis88 Says:

    Noscript è un must , solo che molte volte disattivo tutte le protezioni (ovviamente nei siti di cui mi fido , mica youporn XD) perchè mi esce la fastidiosa barra che mi dice che ci sono script bloccati …


I commenti sono chiusi.