Mozilla e Firefox aprono al phishing: vulnerabilità subito corretta

Secunia ha riportato ieri una vulnerabilità di sicurezza in Mozilla 1.7.x, Firefox 1.0 (così come nelle precedenti versioni 0.x) e Camino. Siti web “maligni”, contenenti pagine web appositamente sviluppate per sfruttare questa “lacuna”, possono essere in grado di falsificare l’URL visualizzato nella barra degli indirizzi del browser, certificati SSL e contenuto della barra di stato. Il problema, segnalato da Secunia come “IDN Spoofing Security Issue”, può facilitare la strada ai responsabili di truffe online (“phishing”): la vunerabilità, infatti, rende possibile far credere all’utente di stare visitando – ad esempio – un sito web conosciuto e sicuro, quando invece si è sempre sul sito web “maligno”.
A questo indirizzo, Secunia presenta un semplice test che permette di verificare se il proprio browser sia affetto dal problema. Cliccando sul link Test Now – Left Click On This Link, visualizzato a metà pagina, si aprirà una nuova finestra del browser: le versioni vulnerabili di Mozilla e Firefox, mostreranno come URL, nella barra degli indirizzi, www.paypal.com quando in realtà si è ancora sul sito di Secunia.
Il team di sviluppo di Mozilla, ha comunque già provveduto a risolvere il bug. Sebbene non sia stata rilasciata alcuna versione ufficiale esente dalla vulnerabilità, Mozilla Foundation ha dichiarato già “tappato” il pericoloso buco di sicurezza (ved. la pagina ufficiale). Le versioni di Firefox e di Mozilla già corrette sarebbero al momento solo le cosiddette “nightly builds” successive alla “2005020719” (ved. questa pagina per Firefox: si tratta comunque di una versione non definitiva e disponibile sono in lingua inglese).