Firefox 2 bucabile via IE

Alcuni esperti di sicurezza hanno scoperto nel panda rosso una vulnerabilità che può essere innescata visitando una pagina web maligna con Internet Explorer
Alcuni esperti di sicurezza hanno scoperto nel panda rosso una vulnerabilità che può essere innescata visitando una pagina web maligna con Internet Explorer

In Firefox 2 si cela una vulnerabilità che, diversamente da quanto accaduto in passato, può essere innescata con la compicità di Internet Explorer. Si tratta di “un errore di design”, come lo definisce FrSIRT , relativo alla gestione degli URI ( Uniform Resource Identifier ) di tipo FirefoxURL:// .

Gli URI FirefoxURL vengono registrati da Firefox al momento dell’installazione in Windows, e possono essere sfruttati da un sito web maligno per eseguire comandi o codice a libera scelta . Ciò è possibile perché Firefox non controlla la validità dei parametri che gli vengono passati attraverso l’URI FirefoxURL.

“Utilizzando l’URI incriminata è possibile utilizzare Internet Explorer (o qualsiasi altro browser Windows based) per lanciare Firefox ed eseguire immediatamente del codice JavaScript”, spiega questo advisory , dove vengono riportati anche diversi test di vulnerabilità. “È altresì possibile creare un profilo utente, caricare impostazioni di Firefox a propria scelta, e installare estensioni globali, il tutto senza il consenso dell’utente”.

FrSIRT afferma di non essere a conoscenza di alcuna patch ufficiale, e propone agli utenti un workaround che contempla la cancellazione dal registro di Windows della chiave HKEY_CLASSES_ROOTFirefoxURL .

Sia FrSIRT che Secunia hanno valutato la falla della massima gravità e, in attesa della patch, invitano gli utenti a visitare solo i siti fidati.

Link copiato negli appunti

Ti potrebbe interessare

10 07 2007
Link copiato negli appunti