Attenzione al bug 0-Day in Firefox 3.5 & 3.6
BitDefender®, noto produttore di innovative soluzioni di
sicurezza internet mette in guardia gli utenti su un difetto di sicurezza 0-day in Firefox
3.5 e 3.6, che ha fatto la sua comparsa negli ultimi giorni.
In genere avvisiamo gli utenti di questo tipo di incidenti, ma questa volta abbiamo deciso di mantenere
l’informazione il più confidenziale possibile, dato che nessuna patch era stata resa
disponibile dal distributore.
La vulnerabilità è stata identificata il 26 ottobre, quando alcuni siti web compromessi
hanno cominciato a installare malware sui computer degli utenti che visitavano una
pagina web progettata per l’occasione.
Il codice exploit scritto in JavaScript veniva
caricato su http://l-3com.[removed]-work.com/admissions/admin.php. Alcuni siti web
importanti, compreso il sito web del Premio Nobel, sono stati compromessi da
iniezioni iFrame che conducevano l’utente verso l’exploit.
Questi file JavaScript progettati per l’occasione si differenziano a seconda delle
diverse versioni di Firefox dalla 3.6.8 alla 3.6.11, e attivano un errore use-after-free,
cioè il codice cercherà di usare una porzione di memoria appena viene liberata.
Questa tecnica, sicuramente non rivoluzionaria, è stata usata anche lo scorso
gennaio da un exploit di IE8, identificato come Operation Aurora.
Una volta visitata la pagina dannosa, il codice JavaScript verifica sia il sistema
operativo sia la versione del browser utilizzato e occupa un’area specifica della
memoria con due carichi diversi.
Il primo differisce tra una versione e l’altra del browser e punta ad avviare l’exception
del browser, mentre il secondo è uguale per tutte le versioni del browser ed esegue i
file dannosi. Se l’utente raggiunge la pagina compromessa utilizzando un altro
browser o una versione di Firefox non vulnerabile, lo script indirizzerà l’utente verso
una nuova pagina vuota.
