A Fundação Mozilla confirmou uma falha em seu navegador Firefox que possibilitaria que hackers roubassem informações confidenciais do computador de seus usuários.

Segundo o site heise Security, a vulnerabilidade poderia ser explorada através de sites maliciosos voltados para o problema, e já foi demonstrada em blogs hackers.

O hiredhacker.com explica que para que a falha seja explorada a vítima precisa ter instalada ao menos uma extensão (complemento que acrescenta funções ao navegador) que não guarde seu conteúdo em um arquivo JAR.

Como exemplos, a Mozilla cita as extensões Download Statusbar e Greasemonkey, que não são as únicas. Contudo, os responsáveis pela Download Statusbar já resolveram o problema relançando o pacote em um arquivo .jar (Java).

A vulnerabilidade no pacote chrome (de interface) utilizado pelo Firefox, permite que um hacker obtenha acesso a outras áreas de um computador, conforme noticiou o site The Register.

Através deste defeito, o hacker poderia carregar imagens, scripts ou folhas de estilo e, incapaz de reconhecer caracteres codificados como %2e%2e%2f (../) nestas URLs, o navegador falharia na filtragem, abrindo margem para acesso e leitura de arquivos pessoais.

Uma entrada no Bugzilla, sistema em que são cadastradas falhas do software da Fundação, mostra que a vulnerabilidade é considerada de baixo risco, e uma solução estará disponível no mecanismo de renderização 1.8.1.12, ainda sem data prevista de lançamento. Atualmente, o navegador utiliza a versão 1.8.1.11.