Mozilla Fondation ha confermato che è in fase di sviluppo Firefox 2.0.0.10, una nuova minor release del noto browser che interviene a correggere una falla di sicurezza nelle gestione degli archivi JAR. Sembra che il problema fosse noto già dallo scorso febbraio ma nuove forme di attacco informatico che ne sfruttano le debolezze sono state segnalate di recente accelerando quindi la necessità di procedere all'aggiornamento.

Il problema è legato al modo con cui Firefox gestisce gli archivi JAR, aprendoli cioè direttamente senza controllare l'effettivo MIME type del file. A questo va aggiunto il fatto che anche in presenza di un semplice redirect ad una file questo viene trattato come se appartenesse al sito di partenza. Combinando questi due bug è possibile far aprire a Firefox un file JAR camuffato semplicemente inserendone il collegamento in un qualsiasi sito, anche fidato, che consente l'inserimento di link. In questo modo diventa possibile sottrarre informazioni sensibili dell'utente proprio riferite al sito visitato. Un proof of concept è stato mostrato anche in riferimento a Gmail di Google.

In attesa della patch risulta utile installare l'estensione NoScript. In alternativa si può modificare manualmente il modo in cui Firefox gestisce gli archivi JAR. Dal menù “Strumenti”, si sceglie “Opzioni” e quindi nella finestra di dialogo ci si porta sulla scheda “Contenuti”. Nell'area “Tipi di File” si preme il pulsante “Gestione” e quindi nella nuova finestra si scorre l'elenco dei tipi file fino a trovare gli archivi JAR. Selezionata la voce si preme il pulsante “Cambia Azione” e nel pannello di configurazione si può, per esempio, abilitare l'opzione “Salvali su Computer”.

Fonte: www.tweakness.net