Commenti a: Firefox, Microsoft e il bug nell’URI handler

Di: ZeroPerCento » Aggiornamento a Firefox 2.0.0.6

ZeroPerCento » Aggiornamento a Firefox 2.0.0.6 — Wed, 01 Aug 2007 15:58:28 +0000

[...] Si consiglia di effettuare l’aggiornamento per correggere alcuni bug e problemi di sicurezza e stabilità tra cui quello relativo alla gestione degli URI. [...]

Di: Paperino

Paperino — Tue, 24 Jul 2007 00:59:09 +0000

@Gialloporpora:
Il proof of concept è qui, è l’ultimo script del post (contiene cmd.exe)
http://larholm.com/2007/07/10/internet-explorer-0day-exploit/
Il tutto avviene javascript

Di: gialloporpora

gialloporpora — Sun, 22 Jul 2007 22:25:43 +0000

@paperino,
mi sa che ho detto una cavolata, e che hai ragione tu.
Quello che FF possa avviare una shell DOS mi piace poco, dove sarebbe il proof of concept ?
Ciao

Di: paperino

paperino — Sun, 22 Jul 2007 20:41:06 +0000

Permettimi di rincarare la dose:
1) questi sono i parametri a riga di comando che si possono passare a Internet Explorer: http://blogs.msdn.com/petel/archive/2007/01/19/internet-explorer-7-command-line-arguments.aspx
come si può vedere, niente che pregiudichi la sicurezza (a parte ovviamente la URL che sarà comunque depurata)
Confronta con quelli di Firefox: http://kb.mozillazine.org/Command_line_arguments
2) Windows Snyder ha cominciato a sostenere che la colpa non è più di IE (visto che Firefox ha lo stesso “baco/non-baco”) ma del “sistema” (di Windows, delle RFC, di Internet, di Turing, ecc.). Stranamente della lunga lista di URI handler citati solo due applicazioni sono risultate vulnerabili (Firefox e Trillian); Trillian in compenso si è cosparsa il capo di cenere rilasciando una patch e senza cercare scuse.
Pensi ancora che non sia possibile dargli torto?
Se solo la sicurezza non fosse più uno slogan….

Di: pseudotecnico

pseudotecnico — Sun, 22 Jul 2007 11:57:51 +0000

Altro articolo molto interessante tradotto in italiano da Rossano Orlandini.

Di: pseudotecnico

pseudotecnico — Sat, 21 Jul 2007 03:49:14 +0000

È un’opzione di WordPress: in Opzioni->Discussione (ovviamente nella versione italiana) puoi impostare il limite di link dopo il quale un commento finisce in coda di moderazione.

Per quanto ne so Akismet funziona sulla base di una blacklist centralizzata

Di: Paperino

Paperino — Sat, 21 Jul 2007 00:14:14 +0000

Oh, I see.
Cosa buffa fa la stessa cosa il mio blog.
Ma non usi Akismet? O anche Akismet modera in base ai commenti?

Di: pseudotecnico

pseudotecnico — Fri, 20 Jul 2007 22:37:49 +0000

@paperino: dipende dal numero di link presenti nel commento

Di: Paperino

Paperino — Fri, 20 Jul 2007 17:17:26 +0000

Ciao Sandro,
dando un’occhiata alla documentazione non mi sembra che con questi due parametri a riga di comando ( http://support.microsoft.com/kb/177233 ) si possa fare dello spam con Outlook Express. Se fosse possibile avresti ragione e il baco andrebbe urgentemente sistemato in OE anziché in IE. Au contraire alcuni proof-of-concept hanno dimostrato che via Firefox è possibile aprire un “command prompt”. Ora mi spieghi perché Firefox dovrebbe avere una riga di comando che permette di aprire un command-prompt? Ma siamo nel 2007 o ancora nel 2001 quando le applicazioni facevano questo tipo di porcherie? Ma siamo davvero sicuri che in Mozilla pensano “che sia compito di Firefox garantire una navigazione sicura agli utenti che navigano usando Firefox”? E soprattutto perché il 20 Luglio 2007 tocca ancora leggere queste porcherie su Slashdot ( http://it.slashdot.org/article.pl?sid=07/07/20/1252215&from=rss )?
@Andrea: non ho afferrato perché un baco di FF debba essere necessariamente un problema per MS da sistemare.
Anyway visto che ci sono faccio un trackback “a mano” al mio ultimo post in cui entro maggiormente nei dettagli tecnici: http://aovestdipaperino.com/archive/2007/07/20/firefox-uri-handler-demistificato.aspx
@pseudotecnico:
devo aver fatto qualche pasticcio con il precedente commento. Se è in coda di moderazione, cancellalo pure.
-quack

Di: Andrea Opletal

Andrea Opletal — Fri, 20 Jul 2007 10:18:25 +0000

quindi anche casa Microsoft … ha i suoi problemi !
eh eh birbantelli perchè vi nascondete?

Di: gialloporpora

gialloporpora — Fri, 20 Jul 2007 10:05:46 +0000

@paperino,
beh spero bene che WMP non accetti un argomento del genere, se è per questo nemmeno con FF funzionerebbe.
Non conosco le cose che è possibile fare con WMP richiamandolo da linea di comando, ma OE è sicuramente possibile utilizzarlo per generare un sacco di spam agli indirizzi della rubrica.
Quindi visto che il problema non è annidato in IE, se quanto affermato corrisponde al vero, c’è un bel bug in Outlook Express.

Ciao
Sandro

Di: paperino

paperino — Fri, 20 Jul 2007 01:47:23 +0000

Quello delle quote è un errore da pivelli che rientra nella categoria dei bachi di sicurezza conosciuta come canonicalizzazione, al secondo posto in diffusione dopo le SQL injection. La colpa è di firefox, non si mettono le quote per fare l’escape di una URL: in questo modo tutti quelli che invocano Firefox – e quindi non solo IE – usando i parametri specificati nel registry, sono costretti a leggere la sintassi, ad interpretarla (cosa un tantino difficile se permetti) e magari passare pure ai dev di FireFox il buono per un caffé. Sbagliato. La soluzione corretta è di non accettare ulteriori switch dopo la url. E con questo il team firefox perde due punti sulla mia agenda (uno per l’errore, l’altro per il capro-espiatorismo in stile apple) Cercare di arrampicarsi sugli specchi con le frasi fatte è poi puro para-culismo.
@M@ttheo: IE7 su Vista è molto più sicuro di FireFox per via del protected mode. In FireFox ci stanno ancora pensando se sia il caso di implementarlo o meno (da un’intervista al capo degli sviluppatori di qualche giorno fa). Rigiro la domanda: come far sapere agli utenti FF qual’è la politica di sicurezza dei produttori del software che usano e che “spacciano” come Safer, Faster e Better?
@GialloPorpora: prova a passare “/format c:” a windows media player e vediamo se funziona.

Di: gialloporpora

gialloporpora — Thu, 19 Jul 2007 19:38:28 +0000

Beh, comunque mi sembra che nella lista ci siano anche delle applicazioni Microsoft
Però da quanto afferma Window Snyder non sembrerebbe nemmeno così complicato impedire che IE possa richiamare queste applicazioni (Opera non lo fa) , quindi che gli costa fare questo sforzo ?
Questo vuol anche dire che della sicurezza degli utenti a Microsoft non gliene può fregar di meno, l’unica cosa che gli interessa è filosofare su chi sia il responsabile.
Ciao

Di: Underpass

Underpass — Thu, 19 Jul 2007 12:53:30 +0000

Una volta tanto anche io mi trovo abbastanza d’accordo con il punto di vista degli sviluppatori MS.

Il che non cambia il mio parere su MS in generale…

Di: M@htte0

M@htte0 — Thu, 19 Jul 2007 07:24:12 +0000

Making good software is hard. Making good software secure can be even harder. At Mozilla, we vigorously take up that challenge. We don’t use it as an excuse for inaction.

A me è piaciuta parecchio anche questa frase. Il punto, grave, è: come far sapere agli utenti IE e Microsoft in genere qual’è la politica di sicurezza dei produttori del software che usano?