Punto informatico Network

20080829220851

Anche Firefox può passare parametri malevoli!

02/08/2007
- A cura di
Zane.
Archivio - Il protocollo firefoxurl:// può essere sfruttato in modo malevolo non solo mediante Internet Explorer, ma anche facendo leva su Firefox stesso. Update: pronta la nuova versione del panda rosso epurata dal problema.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

firefox (1) , parametri (1) , malevoli (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 153 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Il baco in questione è stato sistemato con la versione 2.0.0.6 di Firefox, rilasciata in questi giorni. Gli utenti del Panda Rosso doverebbero ricevere l'update mediante la funzionalità di aggiornamenti automatici integrata: se così non fosse, la pagina di riferimento per l'utenza italiana è questa.

Nei giorni intercorsi fra la scoperta della falla che consente di aggredire Firefox utilizzando Internet Explorer, si è sollevato in Rete un certo polverone riguardo chi fosse responsabile per il problema. Se è infatti indubbio che sia Internet Explorer ad essere vettore d'ingresso per un possibile attacco, è altrettanto vero che Firefox utilizza gli eventuali parametri passati senza validazione alcuna. BlackFirefox.png

Subito dopo che l'aggiornamento 2.0.0.5 di Firefox ha stroncato il dibattito alla radice, appare però un nuovo problema: Jesper Johansson, ex-impiegato Microsoft e ora Security Program Manager per Amazon.com, ha dimostrato che anche Firefox può essere utilizzato come vettore d'ingresso per passare parametri potenzialmente non-validi ad altre applicazioni installate sulla macchina della vittima.

Window Snyder, direttrice del team di sicurezza per Mozilla, ha ammesso l'esistenza del problema, rammaricandosi inoltre di non essere stati in grado di identificare questo ulteriore possibile scenario in tempo per l'update 2.0.0.5.

È lecito dunque aspettarsi che la debolezza venga risolta con la versione 2.0.0.6, a cui Mozilla sta già lavorando. Non sono state però anticipate le date della disponibilità pubblica di questo ennesimo aggiornamento.

Sale così a due il computo dei problemi di sicurezza rilevanti tuttora aperti nel navigatore Mozilla. Che il mito di "maggiore sicurezza" che ha sempre permeato la campagna promozionale del il Panda Rosso si stia lentamente disgregando?

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 1.96 sec.
    •  | Utenti conn.: 69
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 1.72