Ieri è stata resa pubblica una seria debolezza di Firefox che, in certe circostanze, potrebbe dare l’opportunità ad un malintenzionato di rubare l’identità di un ignaro utente.
Il problema risiede nel sistema per la gestione delle password di Firefox, che non controlla la destinazione della form a cui vengono inviati i dati di accesso : ciò apre la strada ad attacchi di cross-domain form , in cui il nome utente e la password archiviati sulla pagina di un certo dominio vengono trasmessi anche ad una pagina di un altro dominio.
Va detto che la falla è stata registrata in BugZilla , il sistema di Mozilla Foundation per gestire i bug, il 12 novembre, tuttavia è divenuta di dominio pubblico soltanto nelle scorse ore. La prima evidenza del problema risale fra l’altro al 27 ottobre , quando Netcraft riportò di un attacco di phishing che inviava i dati di accesso degli utenti di MySpace.com ad un server francese.
La vulnerabilità è stata sviscerata in questo advisory di Chapin Information Services , dove viene proposto anche un test proof-of-concept . CIS ha chiamato la debolezza Reverse Cross-Site Request (RCSR), ed ha spiegato che questa potrebbe essere utilizzata per colpire qualsiasi utente che sta visitando un sito dove si può aggiungere codice HTML, come i blog e certi forum.
CIS ha poi detto che questa falla affligge anche Internet Explorer , ma in questo browser il gestore di password, a differenza di Firefox, “può essere ingannato” solo se la form di autenticazione fraudolenta si trova nella stessa pagina della form legittima.
In attesa che Mozilla sviluppi una patch, gli esperti di sicurezza hanno suggerito agli utenti di Firefox, e a quelli degli altri browser che implementano la gestione password di Mozilla, di disattivare la memorizzazione dei dati di accesso alle pagine Web.