Aggiornamenti recenti Luglio 4th, 2025 3:43 PM
Lug 10, 2019 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0
Da un punto di vista tecnico si definisce come un’implementazione errata della Same Origin Policy (SOP) ed è una vulnerabilità emersa in Firefox la bellezza di 17 anni fa.
Tutto gira intorno al fatto che il browser, oltre che pagine le pagine Web online, può essere utilizzato per aprire file HTML presenti nella memoria del dispositivo. Una funzionalità utile (anche se sempre meno) in qualche caso, ma che espone al rischio che un file malevolo possa avviare azioni nella directory in cui è memorizzato.
Il bug originale, segnalato nel 2002, riguardava la possibilità che un file potesse leggere gli altri dati nella sua stessa cartella e fosse così possibile accedervi. Per dirla tutta, non era un problema solo di Firefox: a esserne interessati erano tutti i browser disponibili in quel periodo, compreso (per chi se lo ricorda) Netscape.
Le soluzioni implementate dagli sviluppatori per correggere il bug sono state diverse e dalle parti di Mozilla hanno scelto di impedire ai file HTML di accedere all’elenco (indexing) dei file all’interno della cartella. In questo modo, un pirata informatico che avesse voluto rubare un file avrebbe dovuto conoscerne posizione e nome.
Perché non utilizzare soluzioni più drastiche? Perché la lettura via Browser di file HTML ha ancora qualche utilità, per esempio la visualizzazione delle guide software (molti produttori usano ancora HTML) e “troncare” la possibilità di visualizzarli avrebbe creato qualche problema.
La scelta di introdurre una protezione “light”, però, ha lasciato aperta la possibilità di sfruttare la vulnerabilità. Anche se in maniera decisamente elaborata. A segnalarlo agli sviluppatori di Mozilla è stato Vladimir Bostanov nel luglio del 2018.
Il ricercatore si è infatti reso conto che con qualche accorgimento (e un generoso uso di ingegneria sociale) è possibile sfruttare il bug anche oggi. La tecnica di attacco prevederebbe l’invio del file malevolo alla vittima che, una volta aperto, mostri un elenco dei file in cartella e un messaggio che chiede di “fare clic per sbloccare il contenuto”. Il clic sul link potrebbe avviare il JavaScript che trasferirebbe i file della cartella sul server del pirata informatico.
Complicato? Forse. Plausibile? Sicuramente. Nel passato, tutto sommato, abbiamo visto attacchi avere un discreto successo adottando strategie molto più improbabili.
La vulnerabilità è stata resa pubblica il 16 gennaio 2019, ma nonostante ciò non è arrivata alcuna patch per correggere la falla.
Qualche giorno fa, però, a riaccendere i riflettori sul problema legato alla gestione della SOP in Firefox ci ha pensato un altro ricercatore, Barak Tawily.
Nel suo report, corredato anche da un video, Tawily spiega come sfruttare il bug per sottrarre informazioni dal computer dell’ignara vittima sfruttando la vulnerabilità.
Ora sembra che dale parti di Mozilla abbiano deciso di prendere delle contromisure più serie e che il problema verrà risolto una volta per tutte. Nel frattempo, il suggerimento è quello di diffidare dei file HTML in download.
Nov 10, 2022 0
Giu 20, 2022 0
Mar 07, 2022 0
Gen 28, 2022 0
Lug 04, 2025 0
Lug 03, 2025 0
Lug 02, 2025 0
Lug 01, 2025 0
Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Mag 27, 2025 0
MATLAB ha smesso di funzionare per quasi una settimana e...Mag 27, 2025 0
Nel corso del “TRU Security Day 2025” di...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 04, 2025 0
Il Sinaloa, un cartello messicano, è riuscito ad...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Lug 02, 2025 0
Secondo quanto riportato da un articolo di Bloomberg, un...Lug 01, 2025 0
In un documento congiunto rilasciato ieri, la CISA,...Giu 30, 2025 0
I ricercatori di Koi Security hanno individuato una...