Pagine

Visualizzazioni totali

mercoledì 24 febbraio 2010

Falla in Firefox, l'exploit è già pubblico


L'exploit che sfrutta una falla ancora priva di patch è in vendita, ed è solo questione di tempo prima che diventi di pubblico dominio.

Mozilla ha appena rilasciato le versioni 3.0.18 e 3.5.8 di Firefox, chiudendo alcune falle di sicurezza e risolvendo alcuni problemi di stabilità. Sfortunatamente, è appena apparsa un'altra falla piuttosto grave.
La gravità della vulnerabilità appena scoperta da Evgeny Legerov, di Intervydis, sta nel fatto che esiste già il codice in grado di sfruttarla per ottenere il controllo dei Pc che eseguono Firefox. Le versioni vulnerabili comprendono tutte quelle della serie 3.x, sia quelle appena aggiornate che la recente 3.6; l'exploit funziona - secondo i test di Intervydis - sia sotto Windows Xp sia sotto Vista. Mozilla ha dichiarato di non aver ancora potuto confermare l'esistenza dell'exploit, ma le indagini sono in corso. Quanto alla natura del problema, Legerov preferisce non rilasciare ulteriori dettagli per non aggravare la situazione.
Tuttavia Legerov ha già reso il codice parte di Vulndisco, un sistema automatico per sfruttare gli exploit venduto ai professionisti di sicurezza. Potrebbe non volerci molto prima che qualcuno lo renda pubblicamente disponibile.