Il problema è nella gestione degli URL. Può mandare in crash il browser
Tom Ferris, già conosciuto per aver recentemente segnalato a Microsoft
due problemi riguardanti l’uno il browser Internet Explorer 6.0, l’altro un
possibile attacco DoS diretto contro sistemi Windows XP SP2 aggiornati con tutte
le patch di sicurezza (ved. queste nostre news), dà notizia di una vulnerabilità
in Mozilla Firefox che potrebbe essere sfruttata da parte di malintenzionati
per causare attacchi DoS o compromettere il sistema preso di mira.
Il problema è causato da un errore commesso dal browser di Mozilla
Foundation nella gestione degli URL molto lunghi che contengano il simbolo
"-" (carattere 0xAD).
In queste situazioni Firefox può andare in crash e
potenzialmente eseguire codice maligno (l’utente, però, deve essere indotto
a visitare una pagina Web appositamente sviluppata per sfruttare la falla di
sicurezza).
La vulnerabilità è stata confermata sia in Firefox 1.0.6 (così
come nelle precedenti versioni del browser) oltre che nella beta 1 di Firefox
1.5.
Una soluzione temporanea, nell’attesa che Mozilla rilasci
una nuova versione del browser, consiste nella disabilitazione manuale del supporto
IDN. Per far ciò è necesario digitare about:config
nella barra degli indirizzi di Firefox quindi impostare a false il
parametro network.enableIDN (è sufficiente fare doppio clic).
