Dai laboratori Secunia arriva un bollettino di sicurezza (SA15601) che descrive un clamoroso autogol per il gruppo Mozilla: una falla vecchia di ben 7 anni,
e già salita rumorosamente agli onori delle cronache solo pochi mesi or
sono, è stata incredibilmente reintrodotta nell'ultima versione di
Firefox. Secunia consiglia agli utenti dotati dell'ultima versione del
browser (1.0.4) di
evitare durante la navigazione siti poco sicuri, in attesa di uno
specifico intervento correttivo da parte della Mozilla Foundation.
Colpito dal problema anche Mozilla 1.7.8.
La falla, scoperta per la prima volta nel lontano 1998, emerse a fine 2004 in una molteplicità di browser tra i quali anche Mozilla Firefox 0.8, Internet Explorer 6 ed Opera 7.51. Mentre quest'ultimo risulta aver corretto il problema nell'attuale versione 8,
Firefox risulta essere invece nuovamente vulnerabile. Secunia giudica
la gravità della falla come «moderata» e mette a disposizione un Proof of Concept utile a verificare la sicurezza del browser in uso.
Il problema specifico concerne l'uso dei frame: sfruttando un sistema
automatico di apertura delle pagine, un eventuale malintenzionato
potrebbe sostituire il contenuto di un frame
all'interno di un sito avendo così a disposizione un ideale contesto
per proporre attacchi truffaldini ad un utente dotato di browser
vulnerabile. L'errore verrà ora presumibilmente corretto nella prossima
versione di Firefox, già distribuita in versione "Alpha" e pronta entro
breve per la distribuzione beta.
FONTE: HTML NEWS