Firefox, il bug è più grave del previsto

Solo una settimana fa avevamo riportato come si stava facendo strada la notizia di un bug per Firefox attraverso il quale è possibile prendere il controllo del pc. Mozilla aveva dichiarato di essere al lavoro per la sua soluzione ma sembra che le cose siano peggiorate.

A scoprire il problema era stato Gerry Eisenhaur che dal suo blog aveva postato tutti i dettagli e spiegato come fosse possibile attaccare il browser open source attraverso le flat add-on, ovvero le estensioni per Firefox che non utilizzano pacchetti .jar ma archiviano le proprie componenti in diversi file.

Mozilla da par suo sembrava intenzionata a porre rimedio, eppure arriva notizia che non solo hanno cominciato a lavorarci da molto poco, ma soprattutto che il capo della sicurezza in persona ha cambiato la classificazione della minaccia da low ad high risk riconoscendo come con tale exploit sia possibile avere accesso ad informazioni critiche come informazioni sulla sessioni, cookie e cronologia.

Eisenhaur da par suo ci aveva provato in tutti i modi a spiegare che il problema era più grave di quanto facessero intendere quelli di Mozilla. Ad ogni modo ora il problema c’è e il team di Firefox fa sapere che la patch non sarà pronta prima del 5 febbraio. Nel frattempo però il gruppo tiene a rimarcare come il loro browser non sia vulnerabile di default ma solo nel caso si siano installati pacchetti flat di estensioni. Rischio che comunque è solo relativo, dato che non è detto che qualcuno abbia messo già a punto un attacco in grado di trarre vantaggio dal buco in questione (non se ne ha quantomeno traccia).