In Firefox 2 si cela una vulnerabilità che, diversamente da quanto accaduto in passato, può essere innescata con la compicità di Internet Explorer. Si tratta di “un errore di design”, come lo definisce FrSIRT , relativo alla gestione degli URI ( Uniform Resource Identifier ) di tipo FirefoxURL:// .
Gli URI FirefoxURL vengono registrati da Firefox al momento dell’installazione in Windows, e possono essere sfruttati da un sito web maligno per eseguire comandi o codice a libera scelta . Ciò è possibile perché Firefox non controlla la validità dei parametri che gli vengono passati attraverso l’URI FirefoxURL.
“Utilizzando l’URI incriminata è possibile utilizzare Internet Explorer (o qualsiasi altro browser Windows based) per lanciare Firefox ed eseguire immediatamente del codice JavaScript”, spiega questo advisory , dove vengono riportati anche diversi test di vulnerabilità. “È altresì possibile creare un profilo utente, caricare impostazioni di Firefox a propria scelta, e installare estensioni globali, il tutto senza il consenso dell’utente”.
FrSIRT afferma di non essere a conoscenza di alcuna patch ufficiale, e propone agli utenti un workaround che contempla la cancellazione dal registro di Windows della chiave HKEY_CLASSES_ROOTFirefoxURL .
Sia FrSIRT che Secunia hanno valutato la falla della massima gravità e, in attesa della patch, invitano gli utenti a visitare solo i siti fidati.
Ti potrebbe interessare
11 lug 2007