Firefox, il pericolo viene dagli add-on

Firefox, il pericolo viene dagli add-on

Mozilla ha avvisato gli utenti che in tutte le attuali versioni di Firefox si cela una falla sfruttabile da un aggressore per leggere certi file presenti sul disco locale. Mozilla assicura una patch in tempi brevi
Mozilla ha avvisato gli utenti che in tutte le attuali versioni di Firefox si cela una falla sfruttabile da un aggressore per leggere certi file presenti sul disco locale. Mozilla assicura una patch in tempi brevi

Mountain View (USA) – Mentre la comunità open source si prepara a festeggiare i 10 anni dal rilascio del codice di Netscape Communicator 5.0, e la conseguente nascita del progetto Mozilla, il capo della sicurezza di Mozilla Foundation , Window Snyder, ha reso pubblica una falla di Firefox di cui è già stato pubblicato un exploit dimostrativo.

In questo advisory Snyder spiega che la debolezza si cela nel codice di Chrome, l'interfaccia utente utilizzata da Firefox e Thunderbird, e mette a rischio i sistemi in cui sono installati certi tipi di estensione. Un aggressore potrebbe sfruttare la vulnerabilità per venire a sapere, attraverso attacchi di directory traversal , se certi file o programmi siano presenti su di una macchina remota: informazioni che possono rivelarsi molto preziose per tentare di bucare il sistema sfruttando altre vulnerabilità.

Le estensioni a rischio sono quelle cosiddette “flat”, i cui file non sono archiviati all'interno di un file JAR (Java Archive): due fra gli add-on più noti appartenenti a questa categoria sono Download Statusbar e Greasemonkey.

Mozilla ha valutato il problema di basso rischio, ed ha promesso di correggerlo in una delle prossime release del proprio browser. Nel frattempo, gli utenti di Firefox possono proteggersi da eventuali attacchi utilizzando l'estensione NoScript .

Link copiato negli appunti

Ti potrebbe interessare

27 01 2008
Link copiato negli appunti