Firefox, il pericolo viene dagli add-on

Mentre la comunità open source si prepara a festeggiare i 10 anni dal rilascio del codice di Netscape Communicator 5.0, e la conseguente nascita del progetto Mozilla, il capo della sicurezza di Mozilla Foundation, Window Snyder, ha reso pubblica una falla di Firefox di cui è già stato pubblicato un exploit dimostrativo.

In questo advisory Snyder spiega che la debolezza si cela nel codice di Chrome, l’interfaccia utente utilizzata da Firefox e Thunderbird, e mette a rischio i sistemi in cui sono installati certi tipi di estensione. Un aggressore potrebbe sfruttare la vulnerabilità per venire a sapere, attraverso attacchi di directory traversal, se certi file o programmi siano presenti su di una macchina remota: informazioni che possono rivelarsi molto preziose per tentare di bucare il sistema sfruttando altre vulnerabilità.

Le estensioni a rischio sono quelle cosiddette “flat”, i cui file non sono archiviati all’interno di un file JAR (Java Archive): due fra gli add-on più noti appartenenti a questa categoria sono Download Statusbar e Greasemonkey.
Mozilla ha valutato il problema di basso rischio, ed ha promesso di correggerlo in una delle prossime release del proprio browser. Nel frattempo, gli utenti di Firefox possono proteggersi da eventuali attacchi utilizzando l’estensione NoScript.

Fonte: punto-informatico.it

Questa voce è stata pubblicata in news. Contrassegna il permalink.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...