Sia Microsoft che Mozilla hanno sottovalutato un bug di Javascript, che una ricerca sulla sicurezza ha mostrato come possa comportare una compromissione di sistema, giustificandosi con il fatto che sia di difficile utilizzo.
Il bago permette ad un hacker di far scaricare inconsapevolmente alcuni file all'utente, ma richiede che ci sia una certa interazione con l'utente stesso.

Per tale ragione, nessuna delle compagnie colpite farà uscire alcuna patch per risolvere tale bug, ma i piani sono di risolverlo nella prossima release del browser.
Mozilla e Microsoft hanno spiegato la loro scelta, mostrando come l'esecuzione del codice sia di scarso rischio, e la probabilità che tale script possa essere eseguito è molto bassa.

Una ricerca effettuata da Secunia advisory sull'argomento, ha rilevato che la vulnerabilità è situata nell'evento "OnKeyDown".

"La vulnerabilità è causata da un errore di design, dove uno script può cancellare gli eventi associati alla pressione di un tasto quando si scrivono testi", si legge dalla relazione di advisory, "Pùo essere utilizzato per ingannare gli utenti mentre inseriscono il nome di un file all'interno di un campo di testo per l'upload, cambiando il focus e cancellando l'evento"OnKeyPress" su determinati caratteri".

Questo potrebbe comportare l'upload di un file arbitrario da un sito web malicious.
Comunque, l'utente dovrebbe digitare un testo che comprende i caratteri di tale file. Ad oggi, non sono state riscontrati danni da parte di questo bug.

La vulnerabilità è stata riscontrata su Firefox,Mozilla,Netscape e Internet Explorer.Gli utenti di Opera invece, sembrano immuni da questo bug, almeno secondo la ricerca effettuata.

Le soluzioni per difendersi da tale bug, secondo Secunia, sono di disabilitare il supporto JavaScript, o di evitare di inserire testi sospetti su siti non sicuri.

Fonte:BetaNews