Nonostante gli alti standard di sicurezza osservati ormai dalla maggioranza dei browser proprietari così come open source, spesso anche alternative del calibro di Mozilla Firefox sono costrette ad ammettere la presenza di gravi vulnerabilità, tra cui rientra a pieno titolo quella più recente, che andrebbe a colpire il lettore PDF integrato nel browser.
Il bug è fortunatamente stato corretto dall’ultima patch rilasciata per la versione 39.0.3, disponibile attualmente sia per Windows che per Linux e Mac, tuttavia la questione sollevata dalla vulnerabilità rilevata mette ancora una volta al centro di un’attenta analisi la presenza di estensioni che possono causare intrusioni indesiderate a livello di browser.
Il bug, presente all’interno del PDF viewer di Firefox, permetterebbe infatti la ricerca, ad insaputa dell’utente, di file e impostazioni particolarmente sensibili nel PC dell’utente, fino a metterne in chiaro parte della configurazione. Nonostante la tempestività di Mozilla nel creare la patch necessaria, lo script iniettato attinge ancora una volta a JavaScript per creare il proprio exploit, accedendo ai metodi ed alle proprietà del documento.
L’interazione con il lettore può poi essere sfruttata per dirottare gli utenti su siti ingannevoli creati ad hoc cliccando su link interni ai documenti, che ricercheranno i file di configurazione sul sistema in uso.
Come spesso avviene nei più recenti attacchi, tra cui l’ormai popolare StageFright, l’exploit non sembra lasciare particolari tracce del proprio passaggio, pertanto non è possibile sapere con sicurezza se si è affetti o meno dal bug.
Il suggerimento di Mozilla, per chi utilizza ancora le passate versioni del browser, è di modificare password dei file aperti con i programmi in grado di interagire con i viewer di Firefox, oltre ad utilizzare i propri ad-blocker preferiti per aggiungere un livello di sicurezza superiore, in attesa che l’utente adotti la nuova release di Firefox, già disponibile.
Nonostante le proposte relative a rendere JavaScript un linguaggio di scripting più sicuro, poiché da sempre indispensabile nella costruzione di pagine web dai comportamenti personalizzati, continuano, come vediamo, a comparire diverse minacce alla sicurezza personale per via dell’uso improprio delle sue possibilità.
Per scoprire la risposta definitiva di Mozilla e dei principali produttori di browser dovremo quindi attendere le prossime decisioni in merito ad uno standard comune ma più sicuro: continueremo a seguire le vicende in merito, in modo che si possa arginare l’impressionante fuga di dati che spesso JavaScript è in grado di causare dai nostri PC.
Lascia un commento