Foi descoberto um bug no navegador Mozilla Firefox que permite a validação de conteúdo falso usando certificados digitais de um site verdadeiro. A vulnerabilidade, descoberta pelo pesquisador britânico Emmanouel Kellinis, é considerada de alto risco e pode ser explorada em golpes de phishing scam. O problema atinge as versões 0.9.1 e 0.9.2 do navegador, segundo relatório.
De acordo com Kellinis, o Mozilla Firefox apresenta um problema de caching e, como resultado, pessoas mal-intencionadas podem conseguir utilizar o certificado de um site confiável na Internet, como o de um banco, por exemplo, e fazer os usuários acreditarem que estão visitando o site da instituição, quando estão num site forjado. Esta técnica costuma receber o nome de spoofing.
Com a exploração do bug, é possível até fazer com que o browser apresente o famoso símbolo do cadeado de segurança, na base do navegador, fechado. Quando o mouse é passado sobre o cadeado, o que se vê é o endereço do site de onde o certificado foi aproveitado e, ao se dar um duplo clique para verificação do certificado, não há advertência alguma.
As técnicas de phishing vêm sendo amplamente utilizadas na Internet. Geralmente, disseminam-se por por e-mail para convencer as pessoas a acessarem sites falsos. Nos endereços fraudulentos, que se passam pelos de instituições confiáveis, como bancárias e de e-commerce, o usuário é convidado a atualizar dados cadastrais, inserir senhas e dados pessoais, que são capturados e utilizados posteriormente pelos golpistas, muitas vezes para desviar dinheiro dos correntistas ludibriados.
Também foi descoberto um outro bug, divulgado pela própria equipe do Mozilla (Bugzilla) e relacionado a certificados digitais, porém de menor gravidade. Refere-se a um ataque de negação de serviço, em que um certificado forjado pode corromper um certificado verdadeiro e impedir o acesso a um site legítimo.
Segundo o que foi publicado na imprensa especializada norte-americana, a equipe do Mozilla está decidindo se vai apenas lançar patches para as brechas de segurança descobertas ou criar novas versões isoladas de seus navegadores. A previsão é de que o problema seja corrigido em aproximadamente uma semana.