Firefox 2.0 a rischio phishing. Mozilla: ci stiamo lavorando.

Mozilla Foundation conferma l’esistenza di un pericoloso bug in Firefox 2.0 che potrebbe facilitare attacchi phishing tesi all’appropriazione, da parte di malintenzionati, delle credenziali di accesso dell’utente ai vari siti web. La scoperta di un attacco rivolto agli utenti di MySpace ha posto l’accento sul problema. La vulnerabilità rende possibile ad un aggressore che inserisca un form all’interno dello stesso dominio (come nel caso di MySpace) di impossessarsi di nome utente e password memorizzati mediante il “gestore password” di Firefox. C’è anche un’aggravante: Firefox (così come altri browser) non controlla l’indirizzo di destinazione per l’invio dei dati inseriti in un modulo online. In questo modo, le credenziali di accesso vengono trasmesse all’aggressore remoto.
Mozilla ha riconosciuto il problema ed ha messo a punto una pagina di test che sfrutta la medesima tecnica. La vulnerabilità dovrebbe essere definitivamente risolta nei prossimi aggiornamenti 2.0.0.1 o 2.0.0.2 del browser. Nel frattempo, da più parti si consiglia la disabilitazione della funzionalità che permette di ricordare le credenziali d’accesso inserite nei form presenti nelle pagine web.