Tratto dallo speciale:

Firefox riscopre una vecchia falla

di Pasquale Miele

Pubblicato 22 Novembre 2007
Aggiornato 12 Febbraio 2018 20:50

Negli ultimi tempi si è parlato spesso del bug che colpisce Firefox a causa dell’errata gestione degli URI che potrebbe assoggettare il computer al volere di un malintenzionato.

Nonostante la patch rilasciata da Microsoft, sembra che questa falla continui a colpire il browser open source, anche se in modo indiretto.

Questa volta, l’errore consiste nell’errata amministrazione del protocollo .jar: quest’ultimo non controlla il tipo MIME dei file di un archivio, i quali vengono eseguiti all’interno del sito che ospita l’archivio in modo automatico.

Secondo Secunia questo bug permetterebbe attacchi di tipo cross-site scripting verso siti che permettono il caricamento di file (.zip, .doc, .pdf, ecc) all’interno del server.

In questo modo i cracker potrebbero utilizzare due tecniche per attaccare gli utenti; una sarebbe quella di convincere gli utenti a cliccare su di un URI che una volta aperto, esegui codice maligno.

Un’altra tecnica, invece, porterebbe all’utilizzo di un exploit creato ad hoc, grazie al quale sarebbe possibile accedere ad un account privato di Google.

In attesa di nuovi “cerotti”, è consigliabile non cliccare su link .jar e, utilizzare No Script per evitare l’esecuzione di script maligni.