Mozilla blinda Bugzilla dopo la violazione di Firefox da parte di un hacker

Il mese scorso è stata chiusa una vulnerabilità in Firefox sfruttata da un hacker che era riuscito a entrare in Bugzilla, la piattaforma usata dagli sviluppatori Mozilla per segnalare potenziali problemi di sicurezza.

Avatar di Giancarlo Calzetta

a cura di Giancarlo Calzetta

-

Lo scorso mese, un utente Firefox ha inviato a Mozilla una segnalazione a proposito di un banner pubblicitario che sembrava in grado di spulciare i file del suo disco rigido alla ricerca di file particolari.

Una veloce indagine ha svelato che, in effetti, un bug nella gestione della separazione dei contesti Javascript permetteva a un banner o altro contenuto scritto appositamente di caricare ed eseguire sul sistema ospite un javascript.

Firefox2
Essendo tra i più diffusi tra gli sviluppatori, qualcuno ha ben pensato di creare una malware che andasse a spulciare tra i file degli utilizzatori alla ricerca di informazioni riservate.

La vulnerabilità non permetteva di eseguire codice arbitrario, ma i privilegi erano sufficienti per accedere ai file sul disco fisso e trasmetterli, eventualmente, ad altra destinazione.

L'exploit funzionava (ed è stato usato) sia su Windows che su Linux e Mac, con versioni personalizzate dei file da cercare. L'utilizzo di un Ad-Blocker non garantisce che il codice javascript non sia stato scaricato ed eseguito.

In seguito all'indagine su questo bug, è stato identificato un account compromesso autorizzato all'accesso su Bugzilla, sfruttato da un hacker per recuperare le informazioni utili a confezionare questo exploit.

Come conseguenza, Mozilla ha eliminato l'account compromesso e ha modificato la policy di sicurezza della piattaforma, resettando le password di tutti gli utenti e forzando l'implementazione di una autenticazione a due livelli per evitare che casi del genere possano ripetersi.

L'attuale versione di Firefox non soffre di questa debolezza e non ci sono sospetti sul fatto che possano esserci altre falle aperte sfruttabili come conseguenza della intrusione dei mesi scorsi.