Attenzione al bug 0-Day in Firefox 3.5 & 3.6


Attenzione al bug 0-Day in Firefox 3.5 & 3.6

BitDefender®, noto produttore di innovative soluzioni di
sicurezza internet mette in guardia gli utenti su un difetto di sicurezza 0-day in Firefox
3.5 e 3.6, che ha fatto la sua comparsa negli ultimi giorni.

In genere avvisiamo gli utenti di questo tipo di incidenti, ma questa volta abbiamo deciso di mantenere
l’informazione il più confidenziale possibile, dato che nessuna patch era stata resa
disponibile dal distributore.
La vulnerabilità è stata identificata il 26 ottobre, quando alcuni siti web compromessi
hanno cominciato a installare malware sui computer degli utenti che visitavano una
pagina web progettata per l’occasione.

Il codice exploit scritto in JavaScript veniva
caricato su http://l-3com.[removed]-work.com/admissions/admin.php. Alcuni siti web
importanti, compreso il sito web del Premio Nobel, sono stati compromessi da
iniezioni iFrame che conducevano l’utente verso l’exploit.
Questi file JavaScript progettati per l’occasione si differenziano a seconda delle
diverse versioni di Firefox dalla 3.6.8 alla 3.6.11, e attivano un errore use-after-free,
cioè il codice cercherà di usare una porzione di memoria appena viene liberata.
Questa tecnica, sicuramente non rivoluzionaria, è stata usata anche lo scorso
gennaio da un exploit di IE8, identificato come Operation Aurora.
Una volta visitata la pagina dannosa, il codice JavaScript verifica sia il sistema
operativo sia la versione del browser utilizzato e occupa un’area specifica della
memoria con due carichi diversi.
Il primo differisce tra una versione e l’altra del browser e punta ad avviare l’exception
del browser, mentre il secondo è uguale per tutte le versioni del browser ed esegue i
file dannosi. Se l’utente raggiunge la pagina compromessa utilizzando un altro
browser o una versione di Firefox non vulnerabile, lo script indirizzerà l’utente verso
una nuova pagina vuota.
Se l’operazione avrà successo invece, verrà scaricato un file chiamato svchost.txt, un
file binario infetto che verrà rinominato come svchost.exe ed eseguito sul computer
della vittima. Questo specifico malware è identificato come Backdoor.Belmoo.A e
permette ad un aggressore remoto di prendere il controllo del sistema infetto.
Gli utenti BitDefender sono stati protetti a partire dal primo giorno di attività del nuovo
exploit (identificato come Exploit.CVE-2010-3765.A), cioè significa che l’antivirus
blocca l’accesso alla pagina web infetta prima che qualsiasi codice venga eseguito.
Firefox ha reso disponibile un update per le versioni dalla 3.6.11 alla 3.6.12 che non è
più vulnerabile a questo tipo di exploit. Per essere sempre protetti, consigliamo di
aggiornare il vostro browser e la vostra soluzione antivirus.
L’analisi tecnica del file exploit è disponibile grazie a Octav Minea, malware
Researcher di Bitdefender.

Chi è BitDefender®

BitDefender è creatore di una delle linee di prodotti software per la sicurezza informatica più veloci, efficaci e
certificate internazionalmente. Sin dal 2001, BitDefender ha aumentato e stabilito nuovi standard nella
protezione proattiva delle minacce. Ogni giorno, BitDefender protegge dieci milioni di utenti privati e aziende
in tutto il mondo, assicurando loro un’esperienza digitale senza pensieri. Le soluzioni Antivirus BitDefender
sono distribuite da un network globale di partner, distributori e rivenditori a valore aggiunto in più di 100

1 commento su “Attenzione al bug 0-Day in Firefox 3.5 & 3.6”

Lascia un commento