Update ore 9.00 (in calce) – Roma – Non è tra le vulnerabilità corrette dal recentissimo Firefox 1.5.0.1 quella divulgata ieri dall’esperto Chris Thomas. La debolezza, che interessa anche Mozilla Suite, può consentire ad un malintenzionato di aggirare le restrizioni di sicurezza del programma e accedere a informazioni sensibili.
La falla è di tipo cross domain scripting ed è causata dall’incorretta verifica, da parte dei software di Mozilla Foundation, di fogli di stile (CSS) e documenti HTML contenenti l’attributo malformato “-moz-binding” in congiunzione con l’eXtensible Binding Language (XBL).
Un aggressore potrebbe sfruttare la vulnerabilità inserendo all’interno di una pagina web uno speciale script che, una volta caricato dal browser, esegue del codice nel contesto di sicurezza di un altro dominio: ciò potrebbe dare ad un estraneo il completo accesso ai cookie dell’utente . FrSIRT ha valutato il problema di rischio moderato perché, a quanto pare, la falla non permette altre forme di attacco.
I programmi vulnerabili sono Firefox 1.5.x e versioni precedenti e Mozilla Suite 1.7.x e precedenti. Al momento non è dato sapere se il problema interessi anche SeaMonkey .
Update : La vulnerabilità segnalata da FrSIRT non è tra quelle elencate qui da Secunia, e che Mozilla Foundation ha corretto con la recente minor release di Firefox. Ci scusiamo con tutti i lettori per aver citato Secunia: siamo stati ingannati da un advisory pubblicato da questa società e riguardante non Firefox, ma Mozilla Suite.