Firefox 2.0.0.12 tem falha de segurança
“Mais uma vez volta a ser verdade o lema da extensão NoScript: “existe um navegador mais seguro que o Firefox: é o Firefox com o NoScript”. E usar esta extensão – que bloqueia scripts de sites que você não tenha autorizado – hoje, com o Firefox 2.0.0.12, pode mesmo ser uma boa idéia, pois esta versão recém-lançada já saiu com um [alegado] bug que pode ser explorado por scripts. É isso, ou correr o risco até que você instale a próxima versão, que não deve demorar.”
Enviado por Helge Panzer Kampfwagen – referência (it.slashdot.org).
Isso não parece ser uma falha. Vou reproduzir dois comentários meus do meiobit:
“Pelo que pude entender, parece ser realmente uma feature do FF para que os arquivos possam ser acessados por extensões.
No texto da fonte do slashdot (http://www.0×000000.com/index.php?i=515) o autor diz que a falha está no acesso que o “resource:///” proporciona e que ele leva até o diretório padrão do FF.
Os arquivos de configuração NÃO ficam no diretório raiz do FF, e sim no “Profile” dos usuários, que ficam em outro local: http://www.mozilla.org/support/firefox/edit
Tentem usar “resource:///../” para acessar algum arquivo num diretório acima. Isso não vai adiantar.
Não vejo motivo nenhum para ficar preocupado. Ainda. :)”
E:
“Isso aparentemente não é uma falha. Leiam meu post anterior. E se ainda acharem que é uma falha LER o diretório raiz do FF, me digam: qual ataque malicioso apenas com esses dados (binários de uma instalação padrão) pode ser efetuado?
Aliás, me expliquem: qual a diferença prática de acessar os arquivos via resource:/// e file:///? Esse acesso existe via file:/// em TODOS os browsers e nunca foi considerado uma falha…”
http://meiobit.com/isso-que-e-agilidade-falha-grave-de-seguranca-no-firefox-pou
Ps. Augusto, não sei se já lhe avisaram, faz tempo que não acesso aqui. Mas a caixa de texto para postar mensagens está estrapolando o layout no opera 9.25 para Windows. :)
Mike Shaver (“Director of Ecosystem Development” do Mozilla) e o Mozilla Security Group deram uma olhada na questão e até o momento eles acham que o cara do Hacker Webzine simplesmente ERROU.
Inclusive, NÃO seria a primeira vez q ele ERRA ao afirmar que o Mozilla tem um problema de segurança. A diferença é que da última vez ele admitiu.
No blog do Shaver vc encontra o comentário dele, com direito a réplica do Ronald van den Heetkamp (Hacker Webzine) e tréplicas de outros comentaristas apontando as contradições do anúncio original.
Não é que o Firefox seja perfeito, mas a questão levantada existe há anos e está longe de ser uma “vulnerabilidade grave”.
Sujeito muito esperto + slashdot = Serious Vulnerability In Firefox
Bug requentado de maio de 2007. Aqui um cara da Mozilla fala sobre o assunto: http://shaver.off.net/diary/2008/02/10/view-sourceresource-vulnerability-does-not-expose-personal-information/
Esta “Serious Vulnerability” não permite ler arquivos pessoais, não permite executar código, não proporciona privilege escalation. Dá simplesmente pra ler alguns arquivos default que são iguais em todas as máquinas.
O chato é que os bugs realmente sérios (como alguns corrigidos no 2.0.0.12) não conseguem mídia nenhuma! Talvez falte a eles uma boa assessoria de imprensa. ;)
Oceanos:
Aliás, me expliquem: qual a diferença prática de acessar os arquivos via resource:/// e file:///? Esse acesso existe via file:/// em TODOS os browsers e nunca foi considerado uma falha…”
O problema não é a possibilidade de acessar resource:/// digitando na barra do browser, mas sim uma página qualquer que você acesse conseguir ler resource:/// (usando o truque do script que o cara apresentou). Se uma página qualquer também conseguisse ler file:///, também seria uma falha de segurança (muito mais grave, inclusive).
A possibilidade de uma página qualquer ler resource:/// não deveria existir, mas se dá para explorar para fazer algo mais grave, aí eu não sei.
Ah, saquei é verdade. Fiz o teste aqui. :)