Window Snyder, chief security officer di Mozilla Corporation, ha confermato la presenza di una falla di sicurezza in Firefox che potrebbe consentire ad aggressori remoti di raccogliere informazioni in uso sul sistema dell’utente.
Il problema, ha spiegato Snyder, risiede nel protocollo “chrome” utilizzato da Firefox per la gestione dell’interfaccia grafica del browser. La vulnerabilità potrebbe essere sfruttata installando una delle tante estensioni per il prodotto di Mozilla facenti uso di una struttura “flat” piuttosto che di un singolo archivio in formato Java (.jar).
Spronando l’utente a visitare una pagina web maligna, gli aggressori potrebbero così ricavare informazioni sulla configurazione della macchina in uso, dati preziosi per mettere in atto altre tipologie di attacco. “Utenti malintenzionati potrebbero sviluppare pagine in grado di rilevare la presenza di particolari file sul sistema client collegato. In questo modo potrebbero essere raccolte informazioni utili per sferrare altri attacchi”, ha commentato Snyder.
Secondo quanto riportato su Bugzilla, il sito web di Mozilla dedicato al monitoraggio ed alla gestione dei bug, gli sviluppatori di Firefox sarebbero già al lavoro per rilasciare una patch risolutiva.
Nel frattempo, gli autori di due estensioni citate da Snyder – Statusbar e GreaseMonkey – hanno subito provveduto a rendere disponibili versioni aggiornate.
Sebbene Snyder abbia ridimensionato la pericolosità complessiva della vulnerabilità, l’autore della scoperta – Gerry Eisenhauer – osserva come per il momento si abbia a che fare solo con la possibilità, per un aggressore, di recuperare informazioni sul sistema. Questo tipo di modalità di attacco è però assai sfaccettata, rimarca Eisenhauer, ed ha un grosso potenziale.
Falla di sicurezza in Mozilla Firefox: presto la patch
Window Snyder, chief security officer di Mozilla Corporation, ha confermato la presenza di una falla di sicurezza in Firefox che potrebbe consentire ad aggressori remoti di raccogliere informazioni in uso sul sistema dell'utente.