Un ricercatore di sicurezza, Cody Crews, ha scoperto che un’inserzione pubblicitaria su un sito russo stava sfruttando una vulnerabilità presente nel visualizzatore PDF di Firefox per cercare file sensibili nel computer degli utenti. In meno di un giorno, Mozilla ha risolto il problema, rilasciando la versione 39.0.3 del browser. L’exploit colpisce solo Firefox per Windows e Linux, ma anche la versione per Mac è stata aggiornata.
La fondazione spiega che la vulnerabilità è correlata alla “same origin policy” del linguaggio JavaScript, un regola che impedisce agli script di accedere ai metodi e alle proprietà degli script che provengono da siti diversi. Il lettore PDF integrato in Firefox è basato sulla libreria PDF.js (scritta in JavaScript) che converte i file PDF in HTML5, consentendo quindi la lettura dei documenti all’interno del browser. Il bug non permette di eseguire codice arbitrario, ma l’exploit è in grado di iniettare codice JavaScript nel file system locale. Un malintenzionato potrebbe così cercare informazioni sensibili ed effettuare l’upload verso un server remoto.
Nonostante il banner pubblicitario sia presente su un sito di news indirizzato ad un pubblico più vasto, l’exploit cerca solo file di configurazione su Windows e Linux. I Mac sembrano immuni, ma nei prossimi giorni potrebbe essere utilizzato un altro tipo di attacco. Per questo motivo, Mozilla ha distribuito una patch per tutti i sistemi operativi supportati. Nessun problema per la versione Android, poiché non include il PDF Viewer.
L’exploit non lascia tracce nel file system, quindi Mozilla suggerisce di cambiare le password e le key presenti nei file suindicati se si usano i programmi associati. Probabilmente, chi ha installato un ad-blocker non ha corso nessun rischio, ma tutto dipende dai filtri applicati.