A Fundação Mozzila emitiu um alerta para duas vulnerabilidades muito críticas identificadas na versão 1.0.3 do seu browser Firefox e na suite Mozzila que tiram partido código URL JavaScript. A primeira permite aos atacantes recuperarem dados do utilizador usados para navegar em páginas onde este tenha fornecido o número do seu cartão de crédito, ou levar a cabo acções sem consentimento do utilizador.



O segundo exploit afecta a mesma funcionalidade e permite instalar software malicioso nas máquinas afectadas, já que consegue corromper a lista de sites autorizados para download, configurada previamente pelo utilizador.



Embora os exploits tenham sido identificados por dois investigadores e para já não passem de provas de conceito, a Fundação avança com um conjunto de conselhos aos utilizadores que passam pela desactivação do JavaScript e pela limpeza da lista de sites autorizados para o download de software. A par com estas medidas o utilizador deve optar por fazer os add-ons necessários ao software de forma manual, a partir do site da fundação, explica o aviso publicado no site.



O mesmo documento explica que a Fundação redireccionou os seus dois sites de updates para um novo URL, mas desaconselha a adição dos novos endereços à sua lista de sites autorizados para download até que o problema esteja resolvido, já que a medida apenas tem efeitos como resposta à prova de conceito testada e não contra as vulnerabilidades em si.



No mesmo comunicado, a Fundação garante que está a trabalhar de forma empenhada numa actualização eficaz para as vulnerabilidades reportadas e que conta apresentar resultados na sua próxima actualização. As vulnerabilidades em questão foram identificadas no passado sábado mas os detalhes sobre os seus efeitos, bem como os conselhos preventivos, surgiram só dois dias depois.



Notícias Relacionadas:

2004-07-12 - Falhas de segurança atingem browsers alternativos