www.MegaLab.it

Ricorderebbe da vicino quella rilevata in novembre la debolezza rintracciata in Mozilla Firefox negli ultimi giorni.

Sebbene il problema precedente sia stato risolto ormai da molti mesi, Hise Security sostiene che il navigatore rimane tutt'oggi afflitto da un baco progettuale che consente di sfruttare il problema in un modo leggermente diverso.

Il pericolo sopraggiunge utilizzando il gestore di password integrato nel navigatore mentre si mantiene attivato l'interprete Javascript. In queste circostanze, un cracker potrebbe realizzare una pagina malevola in grado di carpire in modo automatico le password memorizzate nel navigatore della vittima per il dominio corrente.

Il problema nasce dal modo con cui il gestore delle password memorizza le informazioni. Le credenziali di accesso immesse in qualsiasi pagina web di www.sito.it vengono infatti associate al dominio stesso, e non alla singola pagina. Ecco quindi che sia www.sito.it/pagina_buona.htm che www.sito.it/pagina_cattiva.htm possono accedere alle medesime informazioni.

Sebbene storicamente un certo dominio sia sotto il controllo di un singolo gestore (che quindi non avrebbe alcun vantaggio nel rubare le credenziali di accesso al proprio sito) i nuovi portali "web 2.0" quali MySpace, Netlog/Facebox rivoluzionano questa idea: ecco quindi che un cracker potrebbe predisporre una pagina-esca su uno di questi portali (riempirla di "bellezze prorompenti" continua ad essere la trappola migliore...) e sfruttare la debolezza in questione per sottrarre le credenziali di accesso all'intero portale.

Va comunque precisato che la falla non può essere sfruttata per rubare password appartenenti ad un dominio distinto da quello su cui risiede la pagina malevola.

Qualcuno Rete ha suggerito di disabilitare Javascript fino a quando Mozilla non rilascerà un aggiornamento del navigatore. Sebbene il suggerimento sia tecnicamente corretto, questo causerebbe l'inaccessibilità parziale o totale di numerosi siti web. Raccomando piuttosto di disabilitare temporaneamente il gestore delle password, portandosi su Strumenti -> Opzioni -> Sicurezza e togliendo da qui la spunta a Ricorda le password dei siti.

A questo indirizzo è stata predisposta una pagina di test che consente di toccare con mano il problema. È sufficiente immettere delle credenziali fittizie nei due campi di testo e quindi cliccare submit: si aprirà una seconda pagina in grado di visualizzare le informazioni immesse.