Dopo ulteriori indagini sulla problematica, Mozilla ha innalzato il livello di gravità della vulnerabilità “chrome protocol directory traversal” isolata nel suo browser Firefox e segnalata la scorsa settimana.

La falla, che affligge il suo popolare browser open-source nella gestione degli indirizzi “chrome:” in presenza di estensioni “flat”, è ora ritenuta di severità “alta”; di conseguenza Mozilla ha annunciato che rilascerà un fix per il bug (già realizzato sul codice) in Firefox 2.0.0.12, aggiornamento che dovrebbe essere reso disponibile nei prossimi giorni (domani sul canale beta e probabilmente il 5 Febbraio in versione finale).

La falla descritta era stata già da Window Snyder, Mozilla security chief, sul blog ufficiale Mozilla Security. Inizialmente l’analisi del problema aveva mostrato che la falla poteva consentire ad un sito malintenzionato di accedere ai file locali conservati in posizioni conosciute.

Si tratta nello specifico di una vulnerabilità nello schema di protocollo “chrome” che permette un exploit “directory traversal” in presenza di un add-on (estensione) “flat”, portando ad una potenziale disclosure di informazioni. La vulnerabilità interessa quindi quelle estensioni che si installano come set di file non compressi, senza sfruttare il formato file .jar.

Quando un pacchetto chrome è “flat” invece di essere contenuto un file .jar, è possibile eseguire l’escape della cartella delle estensioni e leggere file posizionati in location prevedibili sul disco. La vulnerabilità era stata segnalata originariamente da Gerry Eisenhaur sul suo blog. Il ricercatore ha anche pubblicato un codice proof of concept che dimostra l’exploit della falla.

Su Mozilla Security è stato pubblicato un aggiornamento dell’impatto potenziale di questa falla. “Un attacker può utilizzare questa vulnerabilità per collezionare informazioni di sessione, tra cui cookie di sessione e cronologia di sessione. Firefox non è vulnerabile di default. Solo gli utenti che hanno installato estensioni ‘flat packed’ sono a rischio. Una discussione sulle estensioni ‘flat packed’ (più di 600) si trova qui. Una lista parziale di estensioni ‘flat packed’ è disponibili qui. Se siete autori di una di queste estensioni, vi preghiamo di rilasciare un aggiornamento per il vostro add-on che utilizzi il packaging .jar”. Ulteriori dettagli sono disponibili nelle entry BugZilla 413250 e Bugzilla 413251.

Contestualmente segnaliamo che Mozilla ha completato ieri il “freeze” del codice di Firefox Beta 3, che dovrebbe, salvo inconvenienti, vedere la luce in forma di release candidate durante questa settimana. Mozilla ha anche stabilito il rilascio di una quarta beta di Firefox 3, che dovrebbe essere rilasciata dopo breve tempo da Beta 3. Ulteriori dettagli sul newgroup dedicato mozilla.dev.planning

Fonte: tweakness.net

Pubblicato in Browser, Firefox, bug, falla