Mesmo com ajustes feitos em julho, pesquisadores afirmam que protocolos podem ser burlados sem interação do usuário.

Mesmo com os ajustes feitos pela Mozilla em julho, O Firefox está vulnerável a ataques que exploram bugs de protocolo, informaram os pesquisadores de segurança Billy Rios e Nate McFeters.

A dupla, que esclareceu as vulnerabilidades de design e funcionalidade nos protocolos Uniform Resource Identifier (URI) do Windows em agosto, declarou que há outras formas de crackers enviarem códigos maliciosos aos usuários por meio de navegadores.

“Estas URIs permitem que os protocolos sejam burlados sem nenhuma interação do usuário”, informou Rios em um post de seu blog. “Apesar de um ajuste de segurança ter sido feito, os principais arquivos que lidam com estes casos ainda não foram endereçados”, acrescentou.

Os pesquisadores não divulgaram detalhes técnicos sobre como um cracker poderia explorar as novas falhas no protocolo URI, afirmando que estão dando tempo para que a equipe da Mozilla ajuste a falha.

Contudo, eles apresentaram um screenshot que mostra como eles usaram um URI para acionar um malware.

A Mozilla alertou, na divulgação de segurança 2007-027, que mais bugs poderiam estar escondidos na forma como o browser lida com o protocolo.

“O Firefox 2.0.0.6 contém ajustes que previnem as demonstrações originais desta variante, mas ainda é possível lançar um tipo de arquivo que lida com protocolos ao invés do protocolo registrado”, diz o documento.

A Microsoft, por sua vez, afirmou diversas vezes que os problemas em lidar com o protocolo são de aplicações e não do Windows.