Geekissimo

Mozilla Firefox, scovata una grave vulnerabilità nel lettore PDF

 
Martina Oliva
8 agosto 2015
0 commenti

Il ricercatore di sicurezza Cody Crews ha recentemente scoperto che un’inserzione pubblicitaria su un sito Internet russo stava sfruttando una vulnerabilità presente nel visualizzatore PDF di Firefox per cercare file sensibili nel computer degli utenti.

Foto che mostra il logo di Mozilla Firefox sotto una lente

Nonostante la cattiva notizia non è però il caso di allarmarsi più del dovuto. Infatti, in meno di un giorno Mozilla ha risolto il problema rilasciando una nuova versione, la 39.0.3, del su browser Web.

Mozilla ha spiegato che la vulnerabilità è correlata alla “same origin policy” del linguaggio JavaScript, un regola che impedisce agli script di accedere ai metodi e alle proprietà degli script che provengono da siti diversi. Il lettore PDF integrato in Firefox è basato sulla libreria PDF.js (scritta in JavaScript) che converte i file PDF in HTML5 consentendo quindi la lettura dei documenti all’interno del browser.

Il bug non permette di eseguire codice arbitrario ma l’exploit è in grado di iniettare codice JavaScript nel file system locale. Un malintenzionato potrebbe quindi cercare informazioni sensibili ed effettuare l’upload verso un server remoto.

L’exploit non lascia tracce nel file system quindi Mozilla suggerisce di cambiare le password e le key presenti nei file suindicati se si usano i programmi associati. Probabilmente chi ha installato un ad-blocker non ha corso nessun rischio ma tutto dipende dai filtri applicati.

Nonostante il banner pubblicitario sia presente su un sito di news indirizzato ad un pubblico più vasto l’exploit cerca solo file di configurazione su Windows e Linux. I Mac sembrano invece essere immuni anche se non è escluso che nei prossimi giorni potrebbe essere utilizzato un altro tipo di attacco. In virtù di ciò Mozilla ha distribuito una patch per tutti i sistemi operativi supportati. Nessun problema invece per la versione Android poiché non include il PDF Viewer.

[Photo Credits | Gil C / Shutterstock.com]

Via | Mozilla Security Blog

Potrebbe interessarti anche
Articoli Correlati
Mozilla Firefox compie dieci anni, novità in arrivo

Mozilla Firefox compie dieci anni, novità in arrivo

Correva l’anno 2002 quando Phoenix, una relase preliminare dell’antenato di Firefox, veniva rilasciata pubblicamente. Sono passati dunque diversi anni dalla nascita del primo vero concorrente del browser web di casa Microsoft, esattamente […]

Firefox Hallo, videochat gratis direttamente da browser

Firefox Hallo, videochat gratis direttamente da browser

Probabilmente non tutti ne sono a conoscenza ma Mozilla è stata una delle aziende che insieme a Google ha supportato sin da subito la tecnologia WebRTC. Per chi non lo sapesse […]

Mozilla, Firefox 29 con UI Australis è disponibile per il download

Mozilla, Firefox 29 con UI Australis è disponibile per il download

Se ne parlava da diversi mesi a questa parte ed in molti avevano già avuto modo di sperimentarne le fattezze tramite il canale Aurora ma è stato soltanto nel corso […]

Firefox OS, presentato ufficialmente da Mozilla al MWC 2013

Firefox OS, presentato ufficialmente da Mozilla al MWC 2013

D’ora in poi Firefox non sarà conosciuto in tutto il mondo soltanto come il browser web del panda rosso ma anche per essere il primo sistema operativo mobile open source […]

Firefox 16: scoperta grave vulnerabilità, rimosso il link per il download

Firefox 16: scoperta grave vulnerabilità, rimosso il link per il download

A distanza di poche ore dal rilascio della versione 16 di Firefox il team di sviluppo di Mozilla è stato costretto a procedere alla rimozione dell’installer dal sito ufficiale per […]

Lista Commenti
Aggiungi il tuo commento

Fai Login oppure Iscriviti: è gratis e bastano pochi secondi.

Nome*
E-mail**
Sito Web
* richiesto
** richiesta, ma non sarà pubblicata
Commento