Roma - È ancora tempo di patch per gli utenti del Web. Questa volta il cerotto va applicato alle versioni per Windows 2000 e XP dei software di punta della
Mozilla Foundation.
Rivelato lo scorso mercoledì sulla mailing-list di sicurezza Full Disclosure, il problema è stato corretto il giorno seguente attraverso il rilascio di un piccolo fix e di nuove versioni aggiornate dei browser Mozilla e Firefox e del client e-mail Thunderbird.
La vulnerabilità, descritta
qui, riguarda il modo in cui i software open source di Mozilla.org gestiscono i link contenenti il suffisso "shell:". Tali link possono essere utilizzati da un aggressore per eseguire programmi o lanciare attacchi di denial of service: se il file richiamato dal link non viene trovato, il browser apre una nuova finestra fino a causare il crash dell'intero sistema.
"Il protocollo shell permette ad alcune applicazioni esterne di attivare Esplora Risorse di Windows (explorer.exe) usando il protocollo stesso per lanciare qualsiasi tipo di file associato ad un eseguibile in locale sul proprio computer", è stato riportato sul sito MozillaItalia.org. "Questo aggiornamento è necessario solo per gli utenti Windows 2000 e XP che utilizzano Mozilla Firefox (versioni inferiori a 0.9.2), Mozilla Thunderbird (versioni inferiori a 0.7.2) o Mozilla Suite (versioni inferiori a 1.7.1)".
La società di sicurezza
Secunia ha spiegato che la falla potrebbe essere utilizzata in congiunzione con le vulnerabilità presenti in altre applicazioni di Windows per eseguire del codice malevolo. La gravità del problema, giudicata "moderata", sarebbe tuttavia mitigata dall'impossibilità, per l'aggressore, di passare dei parametri ad un programma lanciato attraverso il protocollo shell.
Internet Explorer, secondo gli esperti, è esente dal problema: il browser di Microsoft chiede infatti conferma all'utente prima di eseguire un'applicazione evocata da un link "shell:". Secunia ha tuttavia fatto notare come anche in IE, nel passato, siano emerse vulnerabilità legate al protocollo shell.
"La funzione shell: è di per sé insicura e dovrebbe essere disponibile solo per un ristretto numero di siti fidati o, ancor meglio, resa del tutto inaccessibile da un browser", ha affermato Secunia in un comunicato.