L’esperto di sicurezza Michal Zalewski ha segnalato l’esistenza di una vulnerabilità, considerata assai pericolosa, in Mozilla Firefox. Il browser (non è immune al problema nemmeno la più versione 2.0.0.1) non gestirebbe in modo corretto la proprietà “locations.hostname” aprendo di fatto la porta ad attacchi da parte di malintenzionati. Un aggressore, infatti, potrebbe essere in grado, facendo leva sulle specifiche tecniche della lacuna di sicurezza da poco individuata, di interagire con i cookie memorizzati sulla macchina dell’utente-vittima e contenenti informazioni per l’accesso alle aree protette dei vari siti web. Affinché ciò sia possibile, è necessario che l’utente visiti una pagina web maligna, allestita allo scopo da parte dell’aggressore. Ricorrendo all’uso di una particolare stringa, infatti, Firefox crede di trovarsi sul sito web legittimo che ha generato il cookie mentre in realtà si trova sulla pagina web maligna.
Il team di Mozilla ha immediatamente corretto la falla: una patch dovrebbe essere integrata nelle versioni, di imminente rilascio (l’uscita è prevista per il 21 Febbraio prossimo), 1.5.0.10 e 2.0.0.2 di Firefox.
Intanto, esiste un “workaround” per evitare di esporsi a rischi: inserire about:config
nella barra degli indirizzi di Firefox, fare clic con il tasto destro, scegliere la voce Nuovo, Stringa, quindi specificare come nome del parametro capability.policy.default.Location.hostname.set
impostandone il valore a noAccess
. Al termine dell’operazione si dovrà riavviare il browser.
Falla in Mozilla Firefox: a breve le versioni aggiornate
L'esperto di sicurezza Michal Zalewski ha segnalato l'esistenza di una vulnerabilità, considerata assai pericolosa, in Mozilla Firefox.