Falla zero-day in Firefox. Indagini in corso

Falla zero-day in Firefox. Indagini in corso

Una società russa afferma di aver scoperto una gravissima vulnerabilità in Firefox 3.6, e di aver già distribuito ai propri clienti un exploit funzionante. Secunia sembra confermare, mentre Mozilla dice di essere in attesa di dettagli
Una società russa afferma di aver scoperto una gravissima vulnerabilità in Firefox 3.6, e di aver già distribuito ai propri clienti un exploit funzionante. Secunia sembra confermare, mentre Mozilla dice di essere in attesa di dettagli

Roma – Nella più recente versione di Firefox si celerebbe una seria vulnerabilità di sicurezza potenzialmente sfruttabile da malintenzionati per ottenere il controllo di un PC. A sostenerlo è la società di sicurezza russa Intevydis , che afferma di aver già sviluppato un exploit capace di funzionare sotto Windows XP e Vista.

Sebbene nel momento in cui si scrive Mozilla non abbia ancora confermato l’esistenza e/o la gravità del problema, in questo advisory Secunia classifica la vulnerabilità come highly critical e suggerisce agli utenti di non visitare siti sconosciuti e potenzialmente inaffidabili.

Intevydis afferma di aver scoperto il baco in Firefox 3.6, ma non esclude che questo possa trovarsi anche in precedenti versioni del browser. Sul forum della società c’è tuttavia un utente che afferma di aver testato l’exploit – che che Intevydis fornisce sotto forma di aggiornamento al suo software commerciale VulnDisco – senza successo, e accusa la società russa di essersi inventata l’esistenza di una falla zero-day in Firefox con il solo scopo di farsi pubblicità. Messaggi dello stesso tono sono apparsi anche tra i commenti all’advisory di Secunia. È tuttavia difficile pensare che l’autorevole società di sicurezza danese, Secunia per l’appunto, pubblichi un advisory senza prima verificare l’attendibilità della sua fonte.

Per il momento Mozilla ha fatto sapere nel suo Security Blog che, benché sia venuta a conoscenza del problema, al momento non può confermarne l’esistenza. “Non abbiamo ricevuto alcun dettaglio sulla segnalata vulnerabilità, come ad esempio exploit dimostrativi o istruzioni su come riprodurre il problema”, ha scritto ieri Lucas Adamski di Mozilla Security. “Abbiamo tentato di contattare i ricercatori che hanno scoperto la falla, ma non abbiamo ricevuto alcuna riposta”.

In attesa di una conferma o di una smentita da parte di Mozilla, gli utenti di Windows XP o Vista che usano Firefox farebbero meglio a navigare in “acque sicure”.

Alessandro Del Rosso

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 23 feb 2010
Link copiato negli appunti