QR code per la pagina originale

Firefox Sniffer: rimosso il “ruba password”

Scovate due vulnerabilità in altrettanti add-on per Firefox: sono state a rischio le credenziali di accesso a siti Web e servizi per 1.800 utenti. Mozilla corre ai ripari e promette per il futuro più controllo sul codice third party caricato

,

Con un comunicato comparso sul blog ufficiale, Mozilla annuncia di aver scovato due gravi vulnerabilità all’interno della vasta libreria di add-on disponibili per il proprio browser. La prima riguarda Firefox Sniffer, caricato su AMO il 6 giugno scorso e rimasto a disposizione per il download fino alla giornata di ieri. In 1.800 ne hanno effettuato l’installazione, mettendo così a rischio di furto le proprie credenziali di accesso a siti Web e servizi.

Lo scopo dell’add-on in questione era infatti quello di intercettare i campi di testo compilati dagli utenti in qualsiasi modulo di autenticazione, per raccoglierli e inviarli ad un server che al momento risulterebbe offline. L’invito, per tutti coloro che si fossero trovati a installare Firefox Sniffer, è quello di procedere immediatamente alla modifica di tutte le proprie password. Un’operazione di certo non piacevole, ma necessaria per scongiurare accessi indesiderati ai propri account.

A chi va attribuita la responsabilità dell’accaduto? Nell’intervento di Mozilla si punta ovviamente il dito contro sviluppatori malintenzionati, ma non senza ammettere l’esistenza di lacune nella piattaforma che gestisce gli add-on, o meglio, il loro caricamento. Firefox Sniffer era etichettato come codice “sperimentale”, quindi sottoposto esclusivamente ad una basilare scansione automatica per l’individuazione di eventuali trojan, virus o malware, ma non a una più attenta revisione manuale. Per il futuro le cose dovrebbero cambiare, impedendo la pubblicazione di estensioni potenzialmente dannose sulle pagine del repository.

Discorso analogo per CoolPreviews, un add-on il cui obiettivo è quello di mostrare un’anteprima in miniatura dei siti Web semplicemente passando il cursore del mouse sopra un link. In questo caso, nella versione 3.0.1, è stata scovata una vulnerabilità che consente l’esecuzione remota di codice Javascript con privilegi tali da permettere un completo controllo del sistema. Nonostante l’immediato rilascio di un aggiornamento con lo scopo di risolvere il problema, secondo le statistiche lo scorso martedì erano ancora 177.000 gli utenti potenzialmente vulnerabili a un attacco di questo tipo, ovvero il 25% circa di quanti utilizzano CoolPreviews.