La conferma di Mozilla Foundation. La vulnerabilità dovrebbe essere risolta nei prossimi aggiornamenti 2.0.0.1 o 2.0.0.2 del browser
Mozilla Foundation conferma l’esistenza di un pericoloso bug in Firefox 2.0
che potrebbe facilitare attacchi phishing tesi all’appropriazione, da parte
di malintenzionati, delle credenziali di accesso dell’utente ai vari siti Web.
La scoperta di un attacco rivolto agli utenti di MySpace ha posto l’accento
sul problema.
La vulnerabilità rende possibile ad un aggressore che inserisca un form
all’interno dello stesso dominio (come nel caso di MySpace) di impossessarsi
di nome utente e password memorizzati mediante il “gestore password”
di Firefox. C’è anche un’aggravante: Firefox (così come altri
browser) non controlla l’indirizzo di destinazione per l’invio dei dati inseriti
in un modulo online. In questo modo, le credenziali di accesso vengono trasmesse
all’aggressore remoto.
Mozilla ha riconosciuto il problema ed ha messo a punto una pagina di test
che sfrutta la medesima tecnica. La vulnerabilità dovrebbe essere definitivamente
risolta nei prossimi aggiornamenti 2.0.0.1 o 2.0.0.2 del browser. Nel frattempo,
da più parti si consiglia la disabilitazione della funzionalità
che permette di ricordare le credenziali d’accesso inserite nei form presenti
nelle pagine Web.