Pubblicato il proof-of-concept per una presunta vulnerabilità. Secondo Mozilla non c’è possibilità di eseguire codice maligno da remoto
Un’azienda attiva nel campo della sicurezza informatica ha pubblicato, sul
suo sito web, il codice proof-of-concept per una vulnerabilità
scoperta in Firefox 1.5 allertando gli utenti che l’exploit potrebbe essere
modificato da parte di malintenzionati per avviare attacchi che conducano all’esecuzione
di operazioni potenzialmente pericolose sul sistema "vittima".
Il problema è determinato dalle modalità con cui Firefox 1.5
gestisce le informazioni relative alla cronologia (l’elenco dei siti Web via
a via visitati) in particolare quando queste raggiungono dimensioni cospicue.
Un aggressore remoto potrebbe sfruttare la lacuna di Firefox 1.5 per riempire
il file contenente il database della cronologia del browser (history.dat) con
un gran numero di dati semplicemente invitando l’utente a visitare una pagina
web "maligna".
Secondo quanto dichiarato dagli esperti che hanno rilevato il problema, il
codice proof-of-concept reso pubblico impedisce all’utente di riaprire Firefox
dopo essere stato vittima dell’attacco (il browser va in crash) ma potrebbe
divenire ben più pericoloso mediante alcune modifiche.
Mozilla Foundation, comunque, ha minimizzato l’importanza del problema facendo
rilevare anche come le prime analisi già condotte dal team di sviluppo
non abbiano messo in evidenza la possibilità di eseguire codice da remoto.
Per il momento, una buona soluzione può essere quella di disattivare
temporaneamente l’uso della cronologia: dal menù Strumenti,
Opzioni di Firefox 1.5, selezionare Privacy quindi
la scheda Cronologia. In corrispondenza della casella Ricorda
le pagine visitate negli ultimi… giorni è possibile indicare
0.
