Topic: Vulnerabilità gestore password Firefox 2.0

[Vecchio]

Su di un NG ( it.comp.os.win.xp ) e' apparso questo msg:
E' stata scoperta una gravissima falla di sicurezza in Firefox 2.0 che
permette ad un sito web di rubare le vostre password che avete salvato.
Qui c'è un test dimostrativo:
https://bugzilla.mozilla.org/attachment.cgi?id=245426
Dovete inserire in real name e in real password un nome ed una password
che vi pare (per es. name=pippo e password=pluto), poi clickate sul
pulsante real form. Quando Firefox 2.0 vi chiede se volete salvare la
password rispondete di si in modo che il nome utente e la password per
il sito bugzilla.mozilla.org venga salvato. A questo punto si aprirà
una nuova pagina; quindi tornate indietro nella pagina di prima e
noterete che il nome utente e la password è stata automaticamente
inserita nel fake form, infine premete sul pulsante fake form e vi si
aprirà una nuova pagina sul sito maligno d'esempio evil.mozilla.com
che vi mostra come sia riuscito a rubare il vostro nome utente e
password del sito bugzilla.mozilla.org al sito evil.mozilla.com;
compare il nuovo url
http://evil.mozilla.com/stealpassword?name=pippo&password=pluto

Cosa mi dite
Grazie.

[flod]

Ne stanno discutendo qui
https://bugzilla.mozilla.org/show_bug.cgi?id=360493

The Inquirer l'ha data come notizia certa (ma non sarebbe la prima volta che prende cantonate).

In ogni caso la notizia era già stata segnalata qui
http://forum.mozillaitalia.org/index.php?topic=21087.msg141756#msg141756

[Vecchio]

Ne stanno discutendo qui
https://bugzilla.mozilla.org/show_bug.cgi?id=360493

The Inquirer l'ha data come notizia certa (ma non sarebbe la prima volta che prende cantonate).

In ogni caso la notizia era già stata segnalata qui
http://forum.mozillaitalia.org/index.php?topic=21087.msg141756#msg141756

Chiedo scusa, ma ovviamente, non ne ero al corrente 

[fabrixx]

A questo punto metto anche la mia homepage di ieri:
http://www.zeusnews.com/index.php3?ar=stampa&cod=5232&numero=999

[giacomo 20]

Si sa qualcosa in più? è stato risolto? Grazie.

[cala79]

Ciao , volevo sapere se qualcuno ha capito se il problema di sicurezza del password Manager è stato risolto?.
I fixed sono i seguenti

Correzioni Fix in Firefox 2.0.0.1

MFSA 2006-76 XSS using outer window's Function object
MFSA 2006-75 RSS Feed-preview referrer leak
MFSA 2006-73 Mozilla SVG Processing Remote Code Execution
MFSA 2006-72 XSS by setting img.src to javascript: URI
MFSA 2006-71 LiveConnect crash finalizing JS objects
MFSA 2006-70 Privilege escallation using watch point
MFSA 2006-69 CSS cursor image buffer overflow (Windows only)
MFSA 2006-68 Crashes with evidence of memory corruption (rv:1.8.0.9/1.8.1.1)

[Underpass]

Ho unito la tua richiesta a questa discussione sull'argomento.

Da quello che vedo qui:

https://bugzilla.mozilla.org/show_bug.cgi?id=360493

 il bug non è ancora risolto. Ciao

[prometeo]

Esatto Under: di fix neanche l'ombra, siamo ancora alla fase delle opinioni su come è meglio procedere. Immagino che vista la notorietà del bug, lo sviluppo vero del fix verrà portato avanti altrove (come spesso capita in questi casi).
Ciao, Giacomo.

[halifax]

Immagino che vista la notorietà del bug, lo sviluppo vero del fix verrà portato avanti altrove (come spesso capita in questi casi).
Ciao, Giacomo.

Verso quali "lidi" esattamente Giacomo?
Ma soprattutto che tempi prevedi?

[prometeo]

Quando un bug diventa "troppo" rumoroso (troppi commenti e troppe persone), gli sviluppatori preferiscono aprirne un altro con sommario a volte fittizio per portare avanti lo sviluppo di una soluzione: credo che sia avvenuto anche in questo caso (visto che diverse persone si sono "sfilate" dal bug).
I tempi non credo saranno brevi: le soluzioni proposte sono tutte laboriose e pesanti (e si trovano in una parte di codice che tutti detestano), oltre al fatto che il problema si presenta solo con certi siti fatti in un certo modo (ovvero: devono essere fatti apposta per ottenere il "buco").
Secondo me, troveranno una soluzione tampone per il branch 1.8(.x) e la cosa verrà risolta in maniera più radicale col passaggio a Satchel di FF3 (Satchel: gestione dati del browser tramite sqlite, compresi segnalibri, cronologia, dati moduli e password, ecc.).
Ciao, Giacomo.

[Underpass]

Leggo nel commento n° 248 che il problema è stato corretto nel CVS.

Mio buon prometeo, scruta invero negli astri e illuminaci: è possibile che lo vedremo risolto nella versione 2.0.0.2?

P.S. Non ci badate, oggi sono molto "classico"....

[prometeo]

L'unica cosa che è stata "infilata" in FF 2.0.0.1, FF 1.5.0.9 è la modifica della preferenza circa l'autofill ( signon.prefillForms ) dei form, che è passata da true a false. Ma immagino che questo cambiamento valga solo per i nuovi profili... Potete quindi avere lo stesso risultato con about:config nel mentre.
Per il resto, solo fuffa!
Ciao, Giacomo.