Il blocco dei popup di Firefox ha una falla nella sicurezza

CyberwarSicurezza

La vulnerabilità permetterebbe a un malintenzionato di leggere file nel
sistema, appropriandosi di informazioni sensibili e riservate

L’ESPERTO di sicurezza Michal Zalewski afferma di aver trovato una falla nella sicurezza di Firefox, in particolare nel blocker dei popup. La falla permetterebbe a un malintenzionato di leggere arbitrariamente file nel sistema, permettendogli di appropriarsi di informazioni sensibili e riservate. Zalewsky ricorda che il problema sembra interessare solo la versione 1.5.0.9. Per ragioni di sicurezza, Firefox non permette a siti Internet di accedere al file ://namespace. Quando l’utente permette a un popup bloccato di accedere al sistema, i controlli di accesso a quest’area vengono annullati. Questo permette all’assalitore di bypassare, ingannandolo, il browser e di accedere a un documento HTML custodito nel filesystem locale. Il sistema di sicurezza presente in Firefox tratta tutti i file preceduti dalla sequenza ://URL come provenienti dalla stessa origine; in questo modo un documento intruso può accedere ad altri file locali, a sua discrezione, con l’uso della chiamata XMLHttpRequest, trasferendo poi le informazioni al server remoto. Maggiori informazioni potete trovarle qui .

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore