Falla nella cronologia di Firefox 1.5: Mozilla minimizza.

Un’azienda attiva nel campo della sicurezza informatica ha appena pubblicato, sul suo sito web, il codice proof-of-concept per una vulnerabilità scoperta in Firefox 1.5 allertando gli utenti che l’exploit potrebbe essere modificato da parte di malintenzionati per avviare attacchi che conducano all’esecuzione di operazioni potenzialmente pericolose sul sistema “vittima”.
Il problema è determinato dalle modalità con cui Firefox 1.5 gestisce le informazioni relative alla cronologia (l’elenco dei siti web via a via visitati) in particolare quando queste raggiungono dimensioni cospicue.
Un aggressore remoto potrebbe sfruttare la lacuna di Firefox 1.5 per riempire il file contenente il database della cronologia del browser (history.dat) con un gran numero di dati semplicemente invitando l’utente a visitare una pagina web “maligna”.
Secondo quanto dichiarato dagli esperti che hanno rilevato il problema, il codice proof-of-concept reso pubblico impedisce all’utente di riaprire Firefox dopo essere stato vittima dell’attacco (il browser va in crash) ma potrebbe divenire ben più pericoloso mediante alcune modifiche.
Mozilla Foundation, comunque, ha minimizzato l’importanza del problema facendo rilevare anche come le prime analisi già condotte dal team di sviluppo non abbiano messo in evidenza la possibilità di eseguire codice da remoto.
Per il momento, una buona soluzione può essere quella di disattivare temporaneamente l’uso della cronologia: dal menù Strumenti, Opzioni di Firefox 1.5, selezionare Privacy quindi la scheda Cronologia. In corrispondenza della casella Ricorda le pagine visitate negli ultimi… giorni è possibile indicare 0.