Roma – La scorsa settimana Packetstorm Security ha pubblicato il codice di un exploit proof of concept che mette in luce una debolezza del nuovo Firefox 1.5.
La società afferma che il bug può essere utilizzato da un sito web per “causare il crash istantaneo del browser a causa di un buffer overflow”. Il problema si verifica quando Firefox memorizza nella cronologia, ovvero nel file history.dat , pagine web con titoli troppo lunghi.
Packetstorm ritiene che un malintenzionato potrebbe sfruttare il baco per lanciare attacchi di denial of service o, con alcune modifiche all’exploit, per eseguire del codice da remoto.
In una nota apparsa su Mozilla.org il problema viene descritto come una “innocua seccatura”. Gli sviluppatori di Firefox sostengono infatti che l’unico effetto collaterale del bug è un “apparente blocco” del browser che si verifica ogni volta che viene caricata in memoria la cronologia: sui PC più lenti Firefox e Mozilla potrebbero impiegare anche diversi minuti prima di tornare a funzionare normalmente. Nei suoi test, tuttavia, il team di sviluppo afferma di non aver mai sperimentato alcun crash del programma: ciò renderebbe anche impossibile l’eventuale esecuzione di codice.
“Al di là del temporaneo blocco all’avvio del browser, non sembrano esserci rischi per gli utenti o per i loro computer “, si legge nell’advisory di Mozilla.org.
In attesa di una patch, la soluzione più rapida del problema è quella di cancellare il contenuto della cronologia o di eliminare manualmente il file history.dat .
Secunia ha classificato la debolezza di Firefox con il minore grado di rischio.
Negli scorsi giorni NetApplications, società che fornisce servizi e software per l’analisi dei dati di accesso al Web, ha detto che la quota di diffusione di Firefox è passata dall’8,6% di ottobre all’8,8% di novembre: un dato che sembra confermare come la marcia del famoso browser open source, pur se significativamente più lenta rispetto all’inizio dell’anno, non si sia affatto arrestata. NetApplications dà invece IE all’86,5%: dodici mesi fa deteneva oltre il 90% del mercato.
Ti potrebbe interessare
12 dic 2005