Kritiske sårbarheter i Firefox

Eksempelkode som utnytter to nye sårbarheter i Firefox, er blitt offentliggjort. Hullene kan gi uvedkommende full tilgang.

Det er blitt identifisert to sårbarheter i nettleseren Mozilla Firefox, som kan utnyttes av ondsinnede til å utføre "cross-site scripting"-angrep og kompromittere en brukers system. Sikkerhetsselskapet Secunia karakteriserer sårbarhetene som ekstremt kritiske og de mest alvorlige til nå i Firefox.

Den ene sårbarheten skyldes ifølge Secunia at "IFRAME" JavaScript-URLer ikke er korrekt beskyttet mot å bli kjørt og assosiert med en annen URL i historielisten. Dette kan utnyttes til å kjøre vilkårlig HTML- og skriptkode i en brukers nettlesersesjon assiert med et virkårlig nettsted.

Den andre sårbarheten skyldes at inndata til "IconURL"-parameteren i "InstallTrigger.install()" ikke kontrolleres før de benyttes. Dette kan utnyttes til å kjøre vilkårlig JavaScript-kode med økte rettigheter ved hjelp av en spesielt utformet JavaScript-URL.

For å kunne utnytte sårbarheten, kreves det at nettstedet er oppgitt på hvitelisten over nettsteder hvor som kan installere programvare, for eksempel utvidelser (extensions) til Firefox. I utgangspunktet er bare "update.mozilla.org" og "addons.mozilla.org" medlemmer av denne listen. En kombinasjon av de sårbarhetene kan ifølge Secunia utnyttes til å kjøre vilkårlig kode.

Kode som viser ondsinnede hvordan sårbarhetene kan utnyttes, er offentlig tilgjengelig.

Sårbarhetene er blitt bekreftet i den nyeste utgaven av Firefox, 1.0.3, men også eldre utgaver kan være sårbare. Sårbarheten kan unngås ved å begrense hvitelisten for programvareinstallasjon til "update.mozilla.org" og "addons.mozilla.org" og ved å skru av støtten for JavaScript.

Det er ventet at versjon 1.0.4 av Firefox vil tette denne sårbarheten, men det er ikke oppgitt når denne vil bli tilgjengelig.

Mer informasjon om sårbarheten finnes i denne artikkelen i MozillaZine.

Danske CSIS skriver i en sikkerhetsadvarsel at eksempelkoden stammer fra maskinen til en person som har hatt tilgang til detaljer om sårbarheten. CSIS mener det med stor sannsynlighet er snakk om en kompromittert PC hos én av Firefox-utviklerne, eller hos én av de IT-sikkerhetsekspertene som har funnet feilen i nettleseren.

Oppdatering:

Pascual Strømsnæs, leder for Mozilla Norge, forteller i en e-postmelding til digi.no at det ennå ikke er blitt rapportert om aktive utnyttelser av disse sikkerhetshullene. Han skriver at Mozilla Foundation har gjort endringer i nettjenesten Mozilla Update for å redusere risikoen for utnyttelse av de sårbarhetene, samt at stiftelsen nå jobber med en mer omfattende løsning som vil lanseres i en kommende sikkerhetsoppdatering.

Brukere av Mozilla Firefox kan ifølge Strømsnæs beskytte seg ytterligere ved å gjøre det

følgende:

- Midlertidig deaktivere JavaScript ( Verktøy -> Innstillinger -> Nettegenskaper -> Fjerne haken ved "Tillatt JavaScript" og klikke OK.

eller:

- Deaktivere "Tillatt nettsteder å installere programmer" fra Verktøy -> Innstillinger -> Nettegenskaper og klikke OK.

Eventuelt kan brukerne fra denne posisjonen fjerne usikre nettsteder fra listen over nettsteder som brukeren tidligere har godkjent for installasjon av programvare.

Til toppen