Una vulnerabilità assolutamente da non sottovalutare è stata scoperta nel sistema di gestione delle password nel browser Firefox 2.0 (coinvolte anche le versioni precedenti). Il problema è ufficializzato nell’archivio Bugzilla ed al momento non risulta essere stata distribuita alcuna patch in grado di risolvere il tutto.
Robert Chapin della Chapin Information Services, colui che ha originariamente segnalato la scoperta, ha denominato il tutto RCSR, ovvero Reverse Cross-Site Request. Anche Internet Explorer sarebbe in pericolo ma, secondo l’analisi emersa su Bugzilla, è soprattutto Firefox il browser a dover maggiormente fare i conti con quanto riscontrato. Chapin, da parte sua, chiarisce con somma trasparenza il motivo per cui non ha notato la cosa su IE: semplicemente, spiega, non usa mai il browser Microsoft.
Netcraft avrebbe già segnalato la presenza online di un exploit atto a reperire gli estremi di login degli utenti di MySpace e Chapin ha prodotto un proof-of-concept per dimostrare la bontà della propria scoperta (url attualmente non raggiungibile). In pratica un falso modulo di login potrebbe essere compilato da Firefox senza che l’utente possa accorgersi del rischio corrente, dopodichè i dati verrebbero mandati ad un server remoto deputato a raccogliere quanto proveniente dall’offensiva attuata.
Per l’utente, insomma, non v’è possibilità alcuna di salvaguardare le proprie password adoperando una maggiore attenzione: il guaio è tutto riposto nel bug dei browser Firefox e IE e, in assenza di adeguato aggiornamento, l’uso del password manager significa mettere a repentaglio la propria identità online. L’opzione specifica va dunque disattivata e, benchè Secunia tenda a sminuire il problema con un giudizio «less critical» sul bug, la scoperta ha sollevato un certo scalpore trovando forte eco tra i siti del settore. Ad emergere con maggior rilievo, soprattutto, è la totale inermità degli utenti di fronte al problema (l’attacco può essere affondato addirittura in totale trasparenza senza alcuna interazione consapevole) ed i due browser sono messi di fronte ad un vero e proprio sprint per risolvere il problema prima che eventuali danni possano sollevare più concreto disagio.