Dai laboratori Secunia arriva un bollettino di sicurezza (SA15601) che descrive un clamoroso autogol per il gruppo Mozilla: una falla vecchia di ben 7 anni, e già salita rumorosamente agli onori delle cronache solo pochi mesi or sono, è stata incredibilmente reintrodotta nell’ultima versione di Firefox. Secunia consiglia agli utenti dotati dell’ultima versione del browser (1.0.4) di evitare durante la navigazione siti poco sicuri, in attesa di uno specifico intervento correttivo da parte della Mozilla Foundation. Colpito dal problema anche Mozilla 1.7.8.
La falla, scoperta per la prima volta nel lontano 1998, emerse a fine 2004 in una molteplicità di browser tra i quali anche Mozilla Firefox 0.8, Internet Explorer 6 ed Opera 7.51. Mentre quest’ultimo risulta aver corretto il problema nell’attuale versione 8, Firefox risulta essere invece nuovamente vulnerabile. Secunia giudica la gravità della falla come «moderata» e mette a disposizione un Proof of Concept utile a verificare la sicurezza del browser in uso.
Il problema specifico concerne l’uso dei frame: sfruttando un sistema automatico di apertura delle pagine, un eventuale malintenzionato potrebbe sostituire il contenuto di un frame all’interno di un sito avendo così a disposizione un ideale contesto per proporre attacchi truffaldini ad un utente dotato di browser vulnerabile. L’errore verrà ora presumibilmente corretto nella prossima versione di Firefox, già distribuita in versione “Alpha” e pronta entro breve per la distribuzione beta.