BitDefender ha messo in guardia gli utenti circa un
difetto di sicurezza 0-day in Firefox 3.5 e 3.6, che ha fatto la sua comparsa negli ultimi giorni.
La vulnerabilità è stata
identificata il 26 ottobre, quando alcuni siti web compromessi hanno cominciato a installare
malware sui computer degli utenti che visitavano una pagina web progettata per l'occasione sulla quale era stata caricato un
codice exploit in JavaScript.
Alcuni siti web importanti, compreso il
sito web del Premio Nobel, sono stati compromessi da iniezioni
iFrame che conducevano l'utente verso l'exploit. Questi file JavaScript si differenziano a seconda delle diverse versioni di Firefox, dalla 3.6.8 alla 3.6.11, e attivano un
errore use-after-free, con il codice che cercherà di usare una porzione di memoria appena questa verrà liberata. Questa tecnica è stata usata anche lo scorso gennaio da un
exploit di IE8, identificato come
Operation Aurora.
Una volta visitata la pagina dannosa, il codice JavaScript verifica sia il sistema operativo sia la versione del browser utilizzato e occupa un'area specifica della memoria con
due carichi diversi. Il primo differisce tra una versione e l'altra del browser e punta ad avviare l'
exception del browser, mentre il secondo è uguale per tutte le versioni del browser ed
esegue i file dannosi.
Se l'utente raggiunge la pagina compromessa utilizzando un altro browser o una versione di Firefox non vulnerabile, lo script indirizza l'utente verso una nuova pagina vuota. Se l'operazione ha successo, invece, viene scaricato un file chiamato
svchost.txt, un file binario
infetto che viene
rinominato come svchost.exe ed eseguito sul computer della vittima.
Questo specifico
malware è identificato come
Backdoor.Belmoo.A e permette ad un aggressore remoto di prendere il controllo del sistema infetto.
Gli utenti BitDefender sono stati protetti a partire dal primo giorno di attività del nuovo exploit, identificato come
Exploit.CVE-2010-3765.A. L'antivirus blocca quindi l'accesso alla pagina web infetta prima che qualsiasi codice venga eseguito.
Firefox ha reso disponibile un update per le versioni dalla 3.6.11 alla 3.6.12 che non è più vulnerabile a questo tipo di exploit. Per essere sempre protetti, si consiglia di
aggiornare browser e antivirus.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.
