Londra (Gran Bretagna) – Uno studente universitario inglese, Emmanouel Kellinis, ha scoperto l’esistenza di una vulnerabilità in Mozilla e Firefox sfruttabile da un sito malevolo per “rubare” il certificato SSL di un qualsiasi sito Web ed utilizzarlo come fosse proprio: in questo modo una risorsa on-line potrebbe tentare di ingannare l’utente e fargli credere di trovarsi di fronte ad un altro sito o ad una pagina Web sicura.
“E’ possibile far caricare al browser un certificato valido preso da un sito Web fidato utilizzando in un certo modo la funzione onunload”, si legge in un advisory pubblicato dalla società di sicurezza Secunia. “Il problema sta nel fatto che Mozilla carica un certificato da un sito Web fidato e mostra l’icona del lucchetto chiuso mentre visualizza il contenuto di un sito malevolo”.
L’esistenza della vulnerabilità è stata confermata in Mozilla Firefox 0.9.2 e in Mozilla 1.7.1, attualmente le più recenti release dei due celebri browser open source.
A differenza di Kellinis, che ha giudicato la pericolosità della falla elevata, Secunia l’ha definita di rischio moderato.
L’esperto di sicurezza inglese ha pubblicato anche un exploit, costituito da uno script di poche righe, che mostra quanto sia facile approfittare della debolezza.
Ti potrebbe interessare
27 lug 2004