Lo scorso mese gli sviluppatori della Fondazione Mozilla avevano rilasciato Firefox 37, ancora oggi la più recente major release del noto browser Open Source, tra le novità di questo aggiornamento vi era anche il supporto per HTTP/2, nuova versione del più diffuso protocollo di Rete che non subiva un upgrade da almeno 16 anni.
Questa nuova feature potrebbe però aver semplificato la formazione di una vulnerabilità di livello critico a carico dell’applicazione per la navigazione Internet, falla che una volta individuata avrebbe costretto i coders della Foundation a correre ai ripari, rilasciando una security release associata questa volta al numero di versione 37.0.1.
In pratica Firefox 37 avrebbe presentato un problema a carico del sistema di cifratura associato al protocollo HTTPS (HyperText Transfer Protocol over Secure Socket Layer) per la navigazione sicura, in pratica un utente malintenzionato avrebbe avuto la possibilità di aggirare le procedure per la validazione dei certificati.
Nello specifico, e ciò avrebbe fortunatamente contribuito a limitare il raggio d’azione di eventuali attaccanti, la minaccia avrebbe potuto farsi concreta nel caso in cui il server Web di riferimento avesse agito per reindirizzare la pagina corrente attraverso un header di tipo Alt-Svc (HTTP Alternative Services).
Detto questo però, la vulnerabilità avrebbe comunque potuto essere sfruttata per condurre azioni malevole contro alcuni obbiettivi particolarmente delicati e sensibili, come per esempio le piattaforme per l’home banking, facendo credere agli utilizzatori di operare attraverso delle connessioni sicure.
