Punto informatico Network

20090715182028_1247042427_20090715181955_1850554440_xero_Firefox_broken.png

È zero-day la vulnerabilità di Firefox 3.5

17/07/2009
- A cura di
Sicurezza - Scoperta una falla zero-day nel celebre navigatore del panda rosso. Il problema si trova nell'interprete Javascript. UPDATE: risolto con Firefox 3.5.1, ora disponibile.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

firefox (1) , vulnerabilità (1) , firefox 3.5 (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 126 voti
Il dibattito è aperto: partecipa anche tu! AvvisoQuesto contenuto ha ricevuto un numero significativo di commenti. Una volta conclusa la lettura, assicurati di condividere con tutti anche le tue impressioni! La funzionalità è accessibile subito in coda, ai piedi dell'ultima pagina.
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Sembra proprio che il team di Mozilla non abbia tregua. È stata scoperta una nuova vulnerabilità nel browser del panda rosso che, se sfruttata opportunamente, è in grado di causare la corruzione della memoria e, con essa, l'esecuzione di codice arbitrario sul sistema della vittima.

Il bug risiede nel nuovo interprete Javascript TraceMonkey ed è stato Simon Berry-Byrne a rivelarla.

Particolarmente semplice, a quanto pare, far scattare la trappola: basterebbe confezionare una pagina web utilizzando opportunamente determinati elementi HTML (come il tag font) ed indurre il proprio obbiettivo a visualizzarla con una versione non aggiornata del programma.

Rilasciato Firefox 3.5.1 che, oltre a chiudere la vulnerablità nel motore Javascript TraceMonkey, corregge anche un bug per gli utenti di Windows che ne rendeva lento l'avvio. A questo indirizzo il changelog completo.

Secunia ha bollato la falla come Highly critical, ma l'aggiornamento del browser non arriverà prima della fine del mese con Firefox 3.5.1, sebbene in rete siano già disponibili gli exploit in grado di sfruttare la vulnerabilità.

Nel frattempo, è possibile intervenire manualmente per arginare il problema seguendo questa procedura: in questo modo, si disabilita TraceMonkey e si ritorna alla modalità di interpretazione del codice Javascript propria di Firefox 3.0.

Il nuovo motore Javascript ha portato con sé pregi e difetti. Poco prima del rilascio ufficiale, vi è stato rilevato un bug che ha sensibilmente rallentato i lavori, e successivamente altre piccole incongruenze. Ma la vulnerabilità appena venuta alla luce è la prima, davvero seria, imputabile al nuovo componente.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.36 sec.
    •  | Utenti conn.: 102
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 0.18