Punto informatico Network

20090715182157_400097728_20090715182123_575207229_xero_Firefox_broken.png

Ennesimo bug di sicurezza per Firefox

20/07/2009
- A cura di
Sicurezza - Salta fuori un altro bug critico in Firefox 3.5.1. Nessuna patch né workaround ancora disponibili, e un Proof of Concept è già in rete.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

sicurezza (1) , bug (1) , firefox (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 108 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.
Il dibattito è aperto: partecipa anche tu! AvvisoQuesto contenuto ha ricevuto un numero significativo di commenti. Una volta conclusa la lettura, assicurati di condividere con tutti anche le tue impressioni! La funzionalità è accessibile subito in coda, ai piedi dell'ultima pagina.

È da pochissimi giorni stato rilasciato il nuovo Firefox (3.5.1, è il numero di versione), release resa disponibile al fine di porre rimedio a una falla di sicurezza grave non poco. Ma ecco che il browser del panda rosso è di nuovo sotto scacco da una vulnerabilità ad alto rischio.

Sebbene Mozilla avesse dichiarato trattarsi di un problema di gravità non così eccessiva come riportavano i notiziari online, rilasciando Firefox 3.5.2 ha definitivamente risolto il problema.

Il bug può essere sfruttato da remoto con uno stack based buffer overflow portato da una stringa eccessivamente lunga codificata in Unicode. Sfruttando la vulnerabilità, si può portare il browser a crash, blocchi, allocazione di una quantità particolarmente elevata di memoria virtuale e persino ad esecuzione remota di codice arbitrario.

Su una scala di quattro livelli, Security Focus classifica la falla come di livello due, proponendo anche un Proof of Concept che dimostra l'effettiva entità del bug.

Non sono ancora disponibili patch, né sono stati presentati metodi con cui aggirare il problema. L'unico modo per mettersi realmente ai ripari è quello di disabilitare completamente l'interprete Javascript del browser (Strumenti -> Opzioni -> Contenuti -> Attiva Javascript).

Anche l'uso di NoScript sembra proteggere dalla falla: va però da sé che molti siti Internet potrebbero divenire inutilizzabili disabilitando le funzionalità di scripting.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.25 sec.
    •  | Utenti conn.: 73
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 0.12