QR code per la pagina originale

Firefox, c’è un bug sotto esame

Un'errata gestione delle add-on che non arrivano in directory .jar può lasciare via libera ad attacchi in grado di eseguire script e fogli di stile sul computer remoto e quindi anche verificare la presenza o meno di certi file

,

Firefox sempre più violentato. Il browser open source dimostra allo stesso tempo la legge per la quale al crescere dell’utenza crescono i problemi e i possibili buchi di sicurezza e quella per la quale nell’open source la comunità pone rimedio.

L’ultima vulnerabilità scoperta infatti parla della possibilità di eseguire un file javascript arbitrariamente su una macchina remota e a scoprirla e segnalarla è stato un utente, Gerry Eisehaur, blogger esperto di sicurezza.

Il problema sarebbe scatenato dagli add-on che non sono contenuti in directory .jar ma che arrivano “flat” ovvero non compressi. Sfruttando un simile add-on (come ad esempio Download Statusbar o Greasemonkey) da un pagina internet appositamente programmata è possibile far partire script o fogli di stile presenti sul computer dell’utente. Un’utilità per chi attacca è verificare la presenza su disco di alcune applicazioni o fare una profilazione efficace del sistema preso di mira per condurre un altro tipo di attacco (più efficace perchè ritagliato appositamente per la vittima).

Oltre alla fuga di dati dunque c’è anche il problema di rendere leggibili informazioni che possono svelare particolari determinanti per condurre altri attacchi. Nonostante tutto però Mozilla classifica il problema come di bassa priorità anche se chiaramente sta lavorando per mettere a punto una patch risolutiva.

Commenta e partecipa alle discussioni