È stata scoperta una vulnerabilità di sicurezza nell'ultima versione di Firefox 2 che potrebbe esporre gli utenti ad attacchi di phishing.
La falla, che colpisce la versione 2.0.0.11 del browser, consente la creazione di una falsa finestra di dialogo di accesso per indurre gli utenti a divulgare le password per i servizi online.
Firefox visualizza una finestra di dialogo di autenticazione ogni volta che riceve un codice di stato 401 da un server web, un'indicazione che l'autenticazione non è riuscita o non è ancora avvenuta. In questo caso il browser visualizzerà una variabile chiamata valore Realm nella finestra di dialogo, che può essere falsificata per far sembrare che provenga da un sito legittimo.
"Sebbene Firefox non visualizzi i caratteri nel valore Realm dell'intestazione "WWW-Authenticate" dopo le ultime virgolette doppie ("), non riesce a disinfettare le virgolette singole (') e gli spazi. Ciò consente a un utente malintenzionato di creare un valore Realm appositamente predisposto che sembrerà il La finestra di dialogo di autenticazione proveniva da un sito Web attendibile", afferma Aviv Raff, il ricercatore che ha scoperto il difetto il suo
blog personale.Raff ha pubblicato un video di dimostrazione del difetto Youtubee avvisa gli utenti di non fornire il proprio nome utente o password ai siti che visualizzano tale finestra di dialogo fino a quando il difetto non sarà stato risolto.
Mozilla ha annunciato il mese scorso che Firefox ora ha 125 milioni di utenti, anche se non si sa quanti saranno colpiti da questa minaccia alla sicurezza. Mozilla è a conoscenza della vulnerabilità e sta attualmente indagando sulla questione.
Questa settimana saremo a Las Vegas per portarvi le ultime novità tecnologiche dal CES 2008, dai un'occhiata alla nostra copertura sul nostro Minisito del CES.
