Un ricercatore di sicurezza ha scoperto un'insolita vulnerabilità in Internet Explorer che gli consente di passare un URL al browser rivale Firefox.
Se installato su un PC, Firefox registra un gestore di protocollo per gestire gli URL "firefoxurl://". Ma Thor Larholm trovato che se IE viene quindi utilizzato per visitare una pagina Web che tenta di chiamare un firefoxurl, IE avvierà Firefox senza ulteriori richieste, passandogli l'URL.
Questo URL potrebbe essere utilizzato da un utente malintenzionato per far eseguire a Firefox codice JavaScript pericoloso.
Lo sviluppatore di Firefox, Mozilla, osserva che ce ne sono alcuni disputa su dove sia la colpa: "è IE per aver passato dati non attendibili a un'altra applicazione o Firefox per non aver convalidato correttamente l'input?".
Anche le società di sicurezza sono divise. SecurityFocus dà la colpa a IE, Secunia punta le dita su Firefox.
Chiunque sia il responsabile, Mozilla includerà una correzione nel prossimo aggiornamento di Firefox 2.0.0.5. Nel frattempo, Jesper Johansson ha pubblicato le istruzioni per
rimuovendo il gestore firefoxurl.Oltre a patchare Firefox 2, Mozilla sta anche progredendo con la versione 3, nome in codice Gran Paradiso. L'ultima build alpha 7 integra quello che in precedenza era un componente aggiuntivo di terze parti volto a identificare meglio i siti Web fraudolenti e di phishing.
La funzione oscura tutte le informazioni nell'URL, salvo il sottodominio del dominio, al fine di fornire un'identificazione più chiara delle origini precise di un sito web.
Ovviamente la sua efficacia si basa sul fatto che gli utenti prendano effettivamente atto del contenuto della barra degli indirizzi. Uno studio, sebbene controverso, ha suggerito che ciò si verifica raramente.
La prima versione beta di Firefox 3 era stata programmata per il rilascio questo mese, ma la tabella di marcia rivista indica che la prima data è il 18 settembre.
