FeedDemon e la sicurezza dei feed RSS / Atom

FeedDemon logo Ci sono state diverse discussioni nella blogosfera dopo la presentazione di SPI Dynamics alla conferenza Black Hat USA 2006.
Uno degli argomenti del seminario era legato alle vulnerabilità dei lettori per feed e alle possibili conseguenze derivanti.

Tra i software citati non mancava un programma d'eccellenza: FeedDemon, popolarissimo lettore per feed per sistema operativo Microsoft Windows.
Sorpresa da questa citazione NewsGator, la società che attualmente sviluppa e distribuisce il programma, si è affrettata a smentire a più voci quanto affermato alla conferenza.

Sul blog ufficiale Todd Berkowitz riepiloga in breve quanto affermato limitandosi a segnalare gli interventi di risposta di Greg Reinacker e Nick Bradbury, rispettivamente il fondatore e CTO di NewsGator e l'ideatore nonché attuale sviluppatore di FeedDemon.

Nel suo post Nick riprende alcune delle segnalazioni pubblicate da SPI Dynamics fornendo per ciascuna una risposta. Nessuna delle vulnerabilità riportate è attualmente presente in FeedDemon, spiega Nick, quindi immaginate il mio stupore quando ho letto queste affermazioni.

NewsGator era stata contattata nelle scorse settimane da SPI Dynamics che aveva segnalato alcuni possibili rischi nell'uso di FeedBurner.
Prontamente Nick aveva corretto l'unica falla individuata rilasciando il giorno stesso una nuova versione.

Diversi sono i possibili rischi legati alla sicurezza per chi ripubblica HTML da diverse fonti, spiega Mark Pilgrim. Il principale problema è rappresentato da codici o script pericolosi che, una volta interpretati, possono causare comportamenti inaspettati sul computer.
Per questo motivo, segnala Nick Bradbury, FeedDemon in automatico elimina dal contenuto dei feed blocchi di script ed eventi.
In aggiunta, la maggior parte dei contenuti viene codificata e tag potenzialmente pericolosi come iframe, frame, object e embed vengono automaticamente resi inoffensivi.

Un altro grande problema, tipico dei programmi che si appoggiano a Internet Explorer per la visualizzazione dei dati, è l'area di sicurezza assegnata in automatico da Windows.
Se eseguito in questa modalità Internet Explorer consente agli script di operare nella local machine zone, ovvero un'area con alti privilegi di esecuzione sul sistema.
FeedDemon, in automatico, esegue Internet Explorer in modalità local machine zone lockdown limitando il potere di esecuzione.

Contrariamente a quanto affermato, conclude Greg Reinacker nel suo blog, FeedDemon non è vulnerabile per nessuno dei bug segnalati.