Firefox è ancora vulnerabile ad una falla di QuickTime scoperta esattamente un anno fa dal ricercatore di sicurezza Petko D. Petkov. Ad affermarlo è lo stesso Petkov (anche noto come “pdp”), che in un post apparso sul blog gnucitizen.org avverte che la vulnerabilità può gravemente compromettere la sicurezza di Firefox e, probabilmente, anche quella del sistema operativo.
Il bug hunter spiega che lo scorso anno scoprì e divulgò due vulnerabilità critiche di QuickTime : una fu corretta da Apple in tempi brevi, l’altra, nonostante le reiterate segnalazioni, è tuttora aperta. “Così ho deciso di pubblicare una dimostrazione di come un problema a basso rischio possa essere facilmente sfruttato per lanciare attacchi ad ALTO rischio”, si legge nel post.
Petkov sostiene che il codice degli exploit pubblicato sul blog della propria crew può essere utilizzato da malintenzionati per installare backdoor o prendere il pieno controllo di un sistema remoto.
In questo post apparso ieri nel blog di ZDNet.com l’esperto di sicurezza Ryan Naraine afferma di aver provato gli exploit proof of concept proposti da Petkov con l’ultima versione di Firefox 2: in un caso, su di un sistema con Windows XP SP2, lo script è riuscito a lanciare la calcolatrice di Windows . Nel forum di gnucitizen.org Petkov ha postato il link anche ad un altro exploit che, se cliccato, dovrebbe causare lo shutdown di Windows.
Per il momento non si è a conoscenza se tali exploit funzionino anche con altri browser e quali versioni di QuickTime, oltre alla 7.2 testata da Patkov, contengano il bug.
Fra l’altro, proprio ieri Apple ha rilasciato un aggiornamento per QuickTime 7.2 che si limita però a migliorare la compatibilità del player con iLife ’08.
Ti potrebbe interessare
13 set 2007