Roma – Sia Firefox che il suo fratellone Mozilla soffrono di un bug che potrebbe mettere a rischio la privacy e la sicurezza degli utenti. La vulnerabilità, contenuta nel motore JavaScript dei due celebri browser open source, può consentire ad un malintenzionato di rubare eventuali dati sensibili leggendoli da una speciale porzione della memoria chiamata “heap”.
Un hacker russo che si fa chiamare Azafran ha già pubblicato un exploit proof of concept che Secunia ha utilizzato per costruire questo test : se si clicca su Test Now , lo script legge 10 KB di memoria scelti a caso e ne stampa il contenuto in una finestra. Durante i test effettuati in redazione si è però notato come il test, se cliccato più volte, tenda a mandare in crash Firefox.
Secunia ha verificato l’esistenza della falla nelle più recenti versioni di Mozilla (1.7.6) e Firefox (1.0.1 e 1.0.2) ma il bug è probabilmente presente anche nelle release precedenti.
La società di sicurezza ha valutato il livello di pericolosità della vulnerabilità come “moderately critical”: la gravità è infatti mitigata dal fatto che uno script malevolo può leggere solo una piccola porzione di memoria alla volta, e questo solo quando l’utente clicca su di un certo link. È tuttavia probabile che Mozilla Foundation decida di correggere il bug quanto prima con il rilascio di versioni aggiornate dei propri browser.