Firefox, Microsoft e il bug nell’URI handler
19 Luglio 2007
Da qualche ora è disponibile per il download Firefox 2.0.0.5: questa versione risolve il bug emerso nei giorni scorsi relativo all’URI protocol handling.
Da subito si è parlato di un bug di Firefox e non di Internet Explorer: ma ne siamo così sicuri? A quanto pare il bug in questione affligge un numero imprecisato di applicazioni Windows: qui c’è un POC (Proof of Concept) per Trillian, ma non si tratta di un caso isolato:
I can still automatically launch a wide range of external applications from Internet Explorer and provide them with arbitrary command line arguments. AcroRd32.exe (Adobe Acrobat PDF Reader), aim.exe (AOL Instant Messenger), Outlook.exe, msimn.exe (Outlook Express), netmeeting.exe, HelpCtr.exe (Windows Help Center), mirc.exe, Skype.exe, wab.exe (Windows Address Book) and wmplayer.exe (Windows Media Player) – just to name a few.
Scrive Window Snyder:
This patch for Firefox prevents Firefox from accepting bad data from Internet Explorer. It does not fix the critical vulnerability in Internet Explorer. Microsoft needs to patch Internet Explorer, but at last check, they were not planning to. Mark Griesi is quoted in Infoworld saying “We don’t feel that there’s an issue in IE, and therefore, there’s nothing to be fixed.”
In altre parole: noi ci abbiamo messo una pezza, ma il problema non è di Firefox quanto di Internet Explorer. Naturalmente in Microsoft non la pensano allo stesso modo: “Non pensiamo che questo sia un problema di IE, perciò non c’è nulla da sistemare.”
Da IEBlog:
The limitless variety of applications and their unique capabilities make it very difficult to have any meaningful automated parameter validation by the hosting (caller) application. It is the responsibility of the receiving (called) application to make sure it can safely process the incoming parameters.
La colpa è di chi riceve la chiamata (Firefox), non di chi la passa (Internet Explorer): troppo complicato gestire il problema a monte.
Dalle parti di Mozilla la pensano in modo diverso:
At Mozilla, we were able to address the biggest part of this problem in Firefox ages ago by simply escaping quotes in URLs before handing them off.
When you’re surfing the web in Firefox and a website wants to send an address to some other application like AIM or Skype or Acrobat Reader, Firefox packages up that address before handing it off to another application. We think it’s Firefox’s job to ensure that users are protected from malicious websites when they’re surfing the web in Firefox. Apparently Microsoft doesn’t think the same for IE.
Saying it’s too hard is not a justification for failing to take even the bare minimum steps to protect users. Microsoft needs to reconsider here and do what’s right for the millions of IE users at risk instead of trying to shift the responsibility to “limitless variety of applications” that users have installed.
Making good software is hard. Making good software secure can be even harder. At Mozilla, we vigorously take up that challenge. We don’t use it as an excuse for inaction.
In sostanza: pensiamo che sia compito di Firefox garantire una navigazione sicura agli utenti che navigano usando Firefox. Come dargli torto? 😉
16 commenti/trackback a “Firefox, Microsoft e il bug nell’URI handler”
Trackback e pingback
- ZeroPerCento » Aggiornamento a Firefox 2.0.0.6
[...] Si consiglia di effettuare l’aggiornamento per correggere alcuni bug e problemi di sicurezza e stabilità tra cui quello relativo…
Non è possibile inserire nuovi commenti. I commenti vengono disattivati automaticamente dopo 60 giorni.
19 Luglio 2007 alle 08:11
Per quanto mi riguarda sono pienamente d’accordo con gli sviluppatori di Internet Explorer. Non è compito di Microsoft controllare i parametri che vengono passati a Firefox, è compito del chiamato controllare che i parametri che gli vengono passati non siano problematici o potenzialmente pericolosi.
Questo è quello che insegnano in un corso di Ingegneria del Software almeno.
19 Luglio 2007 alle 08:24
A me è piaciuta parecchio anche questa frase. Il punto, grave, è: come far sapere agli utenti IE e Microsoft in genere qual’è la politica di sicurezza dei produttori del software che usano?
19 Luglio 2007 alle 13:53
Una volta tanto anche io mi trovo abbastanza d’accordo con il punto di vista degli sviluppatori MS.
Il che non cambia il mio parere su MS in generale… 😛
19 Luglio 2007 alle 20:38
Beh, comunque mi sembra che nella lista ci siano anche delle applicazioni Microsoft 😛
Però da quanto afferma Window Snyder non sembrerebbe nemmeno così complicato impedire che IE possa richiamare queste applicazioni (Opera non lo fa) , quindi che gli costa fare questo sforzo ?
Questo vuol anche dire che della sicurezza degli utenti a Microsoft non gliene può fregar di meno, l’unica cosa che gli interessa è filosofare su chi sia il responsabile.
Ciao
20 Luglio 2007 alle 02:47
Quello delle quote è un errore da pivelli che rientra nella categoria dei bachi di sicurezza conosciuta come canonicalizzazione, al secondo posto in diffusione dopo le SQL injection. La colpa è di firefox, non si mettono le quote per fare l’escape di una URL: in questo modo tutti quelli che invocano Firefox – e quindi non solo IE – usando i parametri specificati nel registry, sono costretti a leggere la sintassi, ad interpretarla (cosa un tantino difficile se permetti) e magari passare pure ai dev di FireFox il buono per un caffé. Sbagliato. La soluzione corretta è di non accettare ulteriori switch dopo la url. E con questo il team firefox perde due punti sulla mia agenda 🙂 (uno per l’errore, l’altro per il capro-espiatorismo in stile apple) Cercare di arrampicarsi sugli specchi con le frasi fatte è poi puro para-culismo.
@M@ttheo: IE7 su Vista è molto più sicuro di FireFox per via del protected mode. In FireFox ci stanno ancora pensando se sia il caso di implementarlo o meno (da un’intervista al capo degli sviluppatori di qualche giorno fa). Rigiro la domanda: come far sapere agli utenti FF qual’è la politica di sicurezza dei produttori del software che usano e che “spacciano” come Safer, Faster e Better?
@GialloPorpora: prova a passare “/format c:” a windows media player e vediamo se funziona. 🙂
20 Luglio 2007 alle 11:05
@paperino,
beh spero bene che WMP non accetti un argomento del genere, se è per questo nemmeno con FF funzionerebbe.
Non conosco le cose che è possibile fare con WMP richiamandolo da linea di comando, ma OE è sicuramente possibile utilizzarlo per generare un sacco di spam agli indirizzi della rubrica.
Quindi visto che il problema non è annidato in IE, se quanto affermato corrisponde al vero, c’è un bel bug in Outlook Express.
Ciao
Sandro
20 Luglio 2007 alle 11:18
quindi anche casa Microsoft … ha i suoi problemi !
eh eh birbantelli perchè vi nascondete?
20 Luglio 2007 alle 18:17
Ciao Sandro,
dando un’occhiata alla documentazione non mi sembra che con questi due parametri a riga di comando ( http://support.microsoft.com/kb/177233 ) si possa fare dello spam con Outlook Express. Se fosse possibile avresti ragione e il baco andrebbe urgentemente sistemato in OE anziché in IE. Au contraire alcuni proof-of-concept hanno dimostrato che via Firefox è possibile aprire un “command prompt”. Ora mi spieghi perché Firefox dovrebbe avere una riga di comando che permette di aprire un command-prompt? Ma siamo nel 2007 o ancora nel 2001 quando le applicazioni facevano questo tipo di porcherie? Ma siamo davvero sicuri che in Mozilla pensano “che sia compito di Firefox garantire una navigazione sicura agli utenti che navigano usando Firefox”? E soprattutto perché il 20 Luglio 2007 tocca ancora leggere queste porcherie su Slashdot ( http://it.slashdot.org/article.pl?sid=07/07/20/1252215&from=rss )?
@Andrea: non ho afferrato perché un baco di FF debba essere necessariamente un problema per MS da sistemare.
Anyway visto che ci sono faccio un trackback “a mano” al mio ultimo post in cui entro maggiormente nei dettagli tecnici: http://aovestdipaperino.com/archive/2007/07/20/firefox-uri-handler-demistificato.aspx
@pseudotecnico:
devo aver fatto qualche pasticcio con il precedente commento. Se è in coda di moderazione, cancellalo pure.
-quack
20 Luglio 2007 alle 23:37
@paperino: dipende dal numero di link presenti nel commento 😉
21 Luglio 2007 alle 01:14
Oh, I see.
Cosa buffa fa la stessa cosa il mio blog. 🙂
Ma non usi Akismet? O anche Akismet modera in base ai commenti?
21 Luglio 2007 alle 04:49
È un’opzione di WordPress: in Opzioni->Discussione (ovviamente nella versione italiana) puoi impostare il limite di link dopo il quale un commento finisce in coda di moderazione.
Per quanto ne so Akismet funziona sulla base di una blacklist centralizzata 😉
22 Luglio 2007 alle 12:57
Altro articolo molto interessante tradotto in italiano da Rossano Orlandini.
22 Luglio 2007 alle 21:41
Permettimi di rincarare la dose:
1) questi sono i parametri a riga di comando che si possono passare a Internet Explorer: http://blogs.msdn.com/petel/archive/2007/01/19/internet-explorer-7-command-line-arguments.aspx
come si può vedere, niente che pregiudichi la sicurezza (a parte ovviamente la URL che sarà comunque depurata)
Confronta con quelli di Firefox: http://kb.mozillazine.org/Command_line_arguments
2) Windows Snyder ha cominciato a sostenere che la colpa non è più di IE (visto che Firefox ha lo stesso “baco/non-baco”) ma del “sistema” (di Windows, delle RFC, di Internet, di Turing, ecc.). Stranamente della lunga lista di URI handler citati solo due applicazioni sono risultate vulnerabili (Firefox e Trillian); Trillian in compenso si è cosparsa il capo di cenere rilasciando una patch e senza cercare scuse.
Pensi ancora che non sia possibile dargli torto? 😛
Se solo la sicurezza non fosse più uno slogan….
22 Luglio 2007 alle 23:25
@paperino,
mi sa che ho detto una cavolata, e che hai ragione tu.
Quello che FF possa avviare una shell DOS mi piace poco, dove sarebbe il proof of concept ?
Ciao
24 Luglio 2007 alle 01:59
@Gialloporpora:
Il proof of concept è qui, è l’ultimo script del post (contiene cmd.exe)
http://larholm.com/2007/07/10/internet-explorer-0day-exploit/
Il tutto avviene javascript