Mozilla inciampa sui certificati

Una vulnerabilitÓ presente in Mozilla e Firefox pu˛ consentire ad un sito malevolo di abusare dei certificati digitali appartenenti ad altri siti. L'exploit Ŕ stato giÓ reso pubblico

Londra (Gran Bretagna) - Uno studente universitario inglese, Emmanouel Kellinis, ha scoperto l'esistenza di una vulnerabilitÓ in Mozilla e Firefox sfruttabile da un sito malevolo per "rubare" il certificato SSL di un qualsiasi sito Web ed utilizzarlo come fosse proprio: in questo modo una risorsa on-line potrebbe tentare di ingannare l'utente e fargli credere di trovarsi di fronte ad un altro sito o ad una pagina Web sicura.

"E' possibile far caricare al browser un certificato valido preso da un sito Web fidato utilizzando in un certo modo la funzione onunload", si legge in un advisory pubblicato dalla societÓ di sicurezza Secunia. "Il problema sta nel fatto che Mozilla carica un certificato da un sito Web fidato e mostra l'icona del lucchetto chiuso mentre visualizza il contenuto di un sito malevolo".

L'esistenza della vulnerabilitÓ Ŕ stata confermata in Mozilla Firefox 0.9.2 e in Mozilla 1.7.1, attualmente le pi¨ recenti release dei due celebri browser open source.
A differenza di Kellinis, che ha giudicato la pericolositÓ della falla elevata, Secunia l'ha definita di rischio moderato.

L'esperto di sicurezza inglese ha pubblicato anche un exploit, costituito da uno script di poche righe, che mostra quanto sia facile approfittare della debolezza.
TAG: sicurezza
124 Commenti alla Notizia Mozilla inciampa sui certificati
Ordina
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 18 discussioni)