Falla in Mozilla Firefox: a breve le versioni aggiornate

In attesa del rilascio (previsto per la prossima settimana) già disponibile un workaround.

L’esperto di sicurezza Michal Zalewski ha segnalato l’esistenza di una
vulnerabilità, considerata assai pericolosa, in Mozilla Firefox.
Il browser
(non è immune al problema nemmeno la più versione 2.0.0.1) non gestirebbe in
modo corretto la proprietà “locations.hostname” aprendo di fatto la porta ad
attacchi da parte di malintenzionati.

Un aggressore, infatti, potrebbe
essere in grado, facendo leva sulle specifiche tecniche della lacuna di
sicurezza da poco individuata, di interagire con i cookie memorizzati sulla
macchina dell’utente-vittima e contenenti informazioni per l’accesso alle aree
protette dei vari siti web.

Affinché ciò sia possibile, è necessario che
l’utente visiti una pagina web maligna, allestita allo scopo da parte
dell’aggressore.

Ricorrendo all’uso di una particolare stringa, infatti,
Firefox crede di trovarsi sul sito web legittimo che ha generato il cookie
mentre in realtà si trova sulla pagina web maligna.

Il team di Mozilla
ha immediatamente corretto la falla: una patch dovrebbe essere integrata nelle
versioni, di imminente rilascio (l’uscita è prevista per il 21 Febbraio
prossimo), 1.5.0.10 e 2.0.0.2 di Firefox.

Intanto, esiste un
“workaround” per evitare di esporsi a rischi: inserire about:config nella barra
degli indirizzi di Firefox, fare clic con il tasto destro, scegliere la voce
Nuovo, Stringa, quindi specificare come nome del parametro
capability.policy.default.Location.hostname.set impostandone il valore a
noAccess.
Al termine dell’operazione si dovrà riavviare il browser.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome