È emerso nei giorni scorsi un nuovo, gravissimo problema di sicurezza in Mozilla Firefox. 
Il celeberrimo navigatore open source è affetto da un problema nella gestione dei cookie, ovvero quei particolari file di configurazione utilizzati dai siti web per salvare informazioni sui sistemi dei visitatori: ad esempio, MegaLab.it utilizza appunto i cookie per salvare nome utente e password durante la procedura di login, automatizzando l'autenticazione alla visita successiva.
Il sistema dei cookie è studiato per garantire che ogni sito web possa leggere o scrivere cookie non accessibili dagli altri domini. Il baco in questione consente però ad un sito malevolo di aggirare questo vincolo ed impostare sul sistema della vittima cookie per un altro sito. Questo può consentire di avviare attacchi di tipo Cross-site Scripting (XSS), e sottrarre poi informazioni o credenziali di accesso.
Sebbene non sia possibile sfruttare questo baco per eseguire codice da remoto, il pericolo è comunque consistente: in caso il mio sistema fosse vittima di un attacco del genere ad esempio, un cracker potrebbe manipolare il cookie generato da MegaLab.it sul mio browser e guadagnare potenzialmente pieno accesso alle funzioni di amministrazione del sito o del forum. Discorso analogo per siti di Home Banking o simili.
Gialloporpora riporta che la falla è stata corretta a partire dalla versione 2.0.0.2, attualmente in fase avanzata di testing. Fino ad allora, Michal Zalewski (primo a scoprire il problema) raccomanda la seguente procedura per arginare il problema:
- Digitare about:config nella barra degli indirizzi per accedere alla configurazione interna del navigatore
- Cliccare con il pulsante destro in un punto qualsiasi della pagina e selezionare Nuovo --> Stringa
- Digitare capability.policy.default.Location.hostname.set alla prima finestra di dialogo (consiglio di copia-incollare per semplicità) e noAccess alla seconda
Il ricercatore ha messo a disposizione un test: in caso il navigatore sia vulnerabile, in seguito alla pressione del pulsante click here to begin the test verrà visualizzata la seguente schermata
Questa è la seconda vulnerabilità di un certo rilievo che ancora affligge Firefox: a distanza di alcuni mesi anche il baco di cui abbiamo trattato in "Problemi di password per Firefox" rimane infatti ancora irrisolto.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati