A falha no browser de internet permite que hackers roubem informações da sessão de navegação, incluindo cookies, janelas e histórico da navegação.
A Mozilla elevou para “alta” a classificação do bug em seu navegador de internet Firefox. Nesta terça-feira (29/01), a companhia anunciou que disponibilizará a versão 2.0.0.12 da correção para a vulnerabilidade no dia 5 de fevereiro.
Window Snyder, diretora de segurança da empresa, confirmou que o browser, quando roda mais de 600 add-nos, pode ser explorado por hackers, que roubam “informações da sessão de navegação, incluindo cookies e seu histórico”.
O pronunciamento de Snyder veio depois que Gerry Eisenhaur, pesquisador que descobriu a falha no Firefox, questionou o nível de perigo do problema. “Parece haver alguma confusão para determinar exatamente o quão severa é essa vulnerabilidade”, diz Eisenhaur em seu blog hiredhacker.com.
“Essa não é uma vulnerabilidade das mais sérias, mas também não se trata de deixar vazar apenas algumas variáveis. Eu criei uma outra demo capaz de ler um arquivo sessionstore.js. E ela é capaz de reproduzir informações sobre a sessão atual, incluindo janelas, cookies e abas, entre outros itens.”
Na semana passada, quando Eisenhaur levantou o assunto, a Mozilla classificou a ameaça apenas como “baixa”, mas começou ainda assim a trabalhar no desenvolvimento de uma correção. Na terça-feira, Snyder disse que uma correção seria incluída no Firefox 2.0.0.12, pacote de atualização com lançamento marcado para o dia 5 de fevereiro.
“O Firefox não está vulnerável por padrão”, disse Snyder. “Apenas os usuários que instalaram pacotes de add-nos estão em risco”, reiterou.
A afirmação, no entanto, deve dizer respeito à maioria dos usuários do Firefox, uma vez que esses add-nos são lendários. Por exemplo, uma lista parcial postada no Bugzilla, banco de dados para gerenciamento de falhas do Mozilla, roda em mais de 600 extensões do Firefox, incluindo o YouTube-It e o Foxmarks Bookmark Synchronizer.
Outros destaques do COMPUTERWORLD:
>O futuro dos cargos em TI: nem tudo é má notícia
>30 mil usuários pedem que a Microsoft ‘salve o Windows XP’
>Docas Investimentos compra a Intelig e ingressa na telefonia
>Oracle eleva a oferta e fecha compra da BEA por US$ 8,5 bi
>Tudo o que você precisa saber sobre MacBook Air
Snyder alertou os autores dos add-nos a rapidamente atualizarem suas extensões, empacotando-os em arquivos .jar (Java Archieve), a fim de imunizá-los contra a vulnerabilidade. Como alternativa, os usuários do Firefox podem instalar a popular extensão NoScript para bloquer a exploração da vulnerabilidade, independentemente de quais add-nos tenham sido instalados.
