Punto informatico Network

20090715182157_400097728_20090715182123_575207229_xero_Firefox_broken.png

Firescrolling a rischio per Firefox

15/03/2005
- A cura di
Zane.
Archivio - Emergono vulnerabilità davvero preoccupanti anche per Firefox.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

rischio (1) , firefox (1) , firescrolling (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 89 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Uno smanettone di nome Mikx ha scoperto una vulnerabilità estremamente seria in Mozilla Firefox.

Utilizzando una combinazione di tre debolezze scoperte in precedenza, l'esperto è riuscito a confezionare un attacco da lui denominato "Firescrolling", in grado di scrivere file da remoto sul disco di un utente che utilizzasse Firefox 1.0 per visitare la pagina malevola.

Una versione dimostrativa (ed innocua) del problema è disponibile qui (versione per Windows - versione per Linux): visitando quasta pagina con una versione di Firefox bacata (tutte quelle precedenti alla 1.0.1) verrà scritto un file sul disco.

Si tratta di un test innocuo che si limita a creare un file inerme (c:\booom.bat per Windows, booom.txt nella home directory per Linux) ma come è facilmente immaginabile sarebbe potuto trattarsi di qualcosa di ben più pericoloso, come ad esempio una backdoor nella cartella esecuzione automatica .

Il problema è stato risolto a partire dalla build 1.0.1 di Firefox, che è risultato effettivamente immune al problema.

Nel corso della settimana sono emerse anche altre serie di vulnerabilità per i prodotti di Mozilla Foundation non aggiornati all'ultimissima build: Secunia ha riportato infatti in uno dei suoi advisory una decina di bug diversi, tutti di una certa pericolosità.

Se i problemi sono già risolti per Firefox con la versione 1.0.1, Mozilla Suite includerà i fix a partire dalla imminente build 1.7.6, mentre Thunderbird verrà curato contestualmente alla release 1.0.1, di cui è disponibile da qualche giorno Release Candidate.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.16 sec.
    •  | Utenti conn.: 71
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.01