Falla di sicurezza critica in Firefox

Tom Ferris, già conosciuto per aver recentemente segnalato a Microsoft due problemi riguardanti l’uno il browser Internet Explorer 6.0, l’altro un possibile attacco DoS diretto contro sistemi Windows XP SP2 aggiornati con tutte le patch di sicurezza (ved. queste nostre news), dà notizia di una vulnerabilità in Mozilla Firefox che potrebbe essere sfruttata da parte di malintenzionati per causare attacchi DoS o compromettere il sistema preso di mira.
Il problema è causato da un errore commesso dal browser di Mozilla Foundation nella gestione degli URL molto lunghi che contengano il simbolo “-” (carattere 0xAD). In queste situazioni Firefox può andare in crash e potenzialmente eseguire codice maligno (l’utente, però, deve essere indotto a visitare una pagina web appositamente sviluppata per sfruttare la falla di sicurezza).
La vulnerabilità è stata confermata sia in Firefox 1.0.6 (così come nelle precedenti versioni del browser) oltre che nella beta 1 di Firefox 1.5.
Una soluzione temporanea, nell’attesa che Mozilla rilasci una nuova versione del browser, consiste nella disabilitazione manuale del supporto IDN. Per far ciò è necesario digitare about:config nella barra degli indirizzi di Firefox quindi impostare a false il parametro network.enableIDN (è sufficiente fare doppio clic).