Firefox e IE chi ha sbagliato?

di Alessandro Vinciarelli

scritto il

Firefox e Internet Explorer, sempre in lotta per la supremazia nel mondo dei browser web, condividono ora un curioso destino.

È stata riscontrata una vulnerabilità che rende possibile ad un hacker di lanciare, attraverso IE, il browser di Mozilla a di fargli eseguire un qualsivoglia codice nocivo.

Chiaramente quando ci sono dei meriti o dei premi da ritirare c’è sempre qualcuno che rivendica la sua presenza, mentre in questi casi nessuno vuole ammettere la sua colpevolezza.

Da una parte troviamo l’addetto alla security di Mozilla che, anche attraverso un comunicato presente sul sito ufficiale, rivendica l’innocenza di Firefox affermando che solo le persone che navigano con Internet Explorer saranno soggette all’attacco.

In ogni caso per questa vulnerabilità verrà rilasciata una patch lato Firefox con l’intento di non essere più attaccato da browser Microsoft.

Dall’altra parte c’è Internet Explorer, i cui responsabili sottolineano che, dopo una accurata analisi del problema ed una serie di sessioni di test, la vulnerabilità non è ripetibile su nessuno dei prodotti Microsoft. In pratica, dicono, se non esisteva Firefox non sarebbe esistita neanche tale vulnerabilità.

Terze parti ed esperti di sicurezza dicono che la colpa è condivisa, anche se la percentuale maggiore viene addossata a Microsoft.

La vulnerabilità è causata dal fatto che in fase di istallazione Firefox inserisce alcune informazioni sensibili (l’URI “firefoxurl”) nelle chiavi di registro di sistema. Attraverso questo campo altre applicazioni in grado di visualizzare codice HTML possono lanciare Firefox.exe con dei parametri arbitrari senza eseguire su di essi una validazione.

Per questa ragione si crede che Microsoft abbia la colpa di non validare i parametri passati e per questo maggiormente imputabile. Chi dei due ha ragione?