Non molti giorni fa è stata rilasciata l’ultima versione del famoso browser di casa Mozilla e oggi dobbiamo già farci trovare pronti a medicare le prime ferite della cara vecchia volpe. Pare infatti che una pericolosa vulnerabilità al sistema di gestione delle password possa mettere in pericolo le nostre credenziali d’accesso.
La nuova versione del browser aveva come compito principale quello di risolvere le falle di sicurezza relative alla memory corruption e al privilege escalation scoperte qualche settimana fa e che coinvolgevano anche il browser rivale di casa Microsoft, come dichiarato da Mozilla nell’annuncio ufficiale del rilascio. Tuttavia risolta una vulnerabilità eccone subito un’altra.
Secondo un messaggio postato sulla famosa mailing list Full-Disclosure, l’ultima versione di Firefox, la 2.0.0.5, contiene una vulnerabilità nel sistema di gestione delle password che potrebbe permettere a siti web maliziosi di carpire le password dell’utente. In maniera particolare il problema si presenta nel momento in cui il browser ha JavaScript abilitato ed è attiva la funzionalità che permette di memorizzare le password.
Il sito web Heise Security contiene un proof of concept della vulnerabilità con cui è possibile anche testare il grado di rischio a cui è soggetto il proprio browser. A quanto pare Mozilla ancora non ha risolto il problema, anche se non molti mesi fa aveva già ovviato ad una vulnerabilità simile.