Pericolosa vulnerabilità di Firefox nella gestione degli URL

Alcuni esperti di sicurezza hanno individuato una falla di sicurezza nel browser Firefox 2.0 collegata con la gestione degli URL. Classificata da Secunia come “altamente critica”, la lacuna di programmazione riguarda il gestore URI (Uniform Resource Identifier) firefoxurl://. Tutte le applicazioni che sono in grado di trattare codice HTML possono richiamare l’URI in questione. Secondo il ricercatore di sicurezza Thor Larholm, in particolare, la vulnerabilità è sfruttabile da Internet Explorer. Ciò significa che il browser di Microsoft, trovandosi a trattare indizzi che iniziano con la sintassi firefoxurl://, richiama a sua volta il file eseguibile di Mozilla Firefox trasmettendogli l’insieme di comandi arbitrari inseriti nell’URL.
Utilizzando l’opzione -chrome, eventuali malintenzionati possono mettere in atto attacchi “cross browser”: tale opzione permette di accedere alle risorse di Firefox con i privilegi più elevati. Come confermato da Secunia, quindi, visitando un sito web maligno mediante Internet Explorer, avendo installato Firefox 2.0.0.4, si potrebbe vedere eseguito, sul proprio sistema, codice nocivo.
L’Internet Storm Center (ISC) di SANS ha colto l’occasione per sottolineare come qualsiasi software installato sul proprio sistema, seppur inutilizzato, debba essere mantenuto sempre aggiornato installando le ultime patch di sicurezza. L’opinione dei più è che una soluzione al problema di sicurezza debba pervenire dal team di Mozilla: il “protocol handler” non informa in alcun modo Internet Explorer sulle modalità con le quali debba essere effettuata la validazione degli argomenti presenti nell’URL. E’ in realtà Firefox che non effettua una corretta validazione sui parametri trasmessi. ISC segnala un articolo nel quale si spiega come disabilitare il gestore URI di Firefox fintanto che il problema non sarà risolto. Da parte nostra, prima di eliminare qualsiasi chiave del registro di Windows, suggeriamo di effettuarne una copia di backup (le chiavi in questione sono HKEY_CLASSES_ROOTFirefoxHTML, HKEY_CLASSES_ROOTFirefoxURL e HKEY_CLASSES_ROOTFirefox.URL).