Roma – In Firefox sono appena state scoperte due vulnerabilità di sicurezza classificate da Secunia con il massimo grado di pericolosità. Secondo la società di sicurezza danese, entrambe le falle possono consentire ad un malintenzionato di compromettere il sistema di un utente per mezzo di attacchi di cross-site scripting.
In questo advisory si spiega che combinando le due vulnerabilità un cracker potrebbe eseguire del codice a propria scelta sul computer dell’utente. Su Internet è già disponibile un exploit pubblico ma a mitigare il problema interviene il fatto che per sfruttare la seconda falla un sito dev’essere autorizzato ad installare le estensioni per il browser (i siti di default sono “update.mozilla.org” e “addons.mozilla.org”).
L’esistenza delle due vulnerabilità è stata verificata anche nell’ultima versione di Firefox, la 1.0.3. Gli esperti suggeriscono di disabilitare temporaneamente l’esecuzione di codice JavaScript fino a che Mozilla Foundation non rilascerà una patch. Quest’ultima nel frattempo ha già fatto in modo che i siti che si appoggiano al propria sistema di download e installazione delle estensioni non possano sfruttare la seconda vulnerabilità.
Altre informazioni sulle due falle sono disponibili sul sito di sicurezza francese FrSIRT .
Ti potrebbe interessare
9 mag 2005