Punto informatico Network

20090605153620_1491391956_20090605153558_1309797349_ff_lock_spotlight.png

Mozilla rassicura: il nuovo baco non è sfruttabile per eseguire codice

21/07/2009
- A cura di
Sicurezza - Mozilla commenta la falla di sicurezza scoperta pochi giorni fa: potrebbe causare un crash, ma non è possibile eseguire codice da remoto.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

mozilla (1) , crash (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 139 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

È stata portata alla luce solo da pochi giorni una nuova falla da cui è afflitto Firefox 3.5.1. Sfrutta uno stack buffer overflow provocato da una stringa Unicode eccessivamente lunga che, secondo quanto dichiarato, porterebbe al crash o al blocco del browser, e persino all'esecuzione di codice arbitrario da remoto attraverso una pagina web confezionata per l'occasione.

Security Focus ha pubblicato anche un Proof of Concept per dimostrare che il bug poteva essere effettivamente sfruttato. Ma secondo un post apparso sul blog di Mozilla, questo non sarebbe completamente vero.

Per quanto riguarda Windows, Firefox 3.0.* e 3.5.* vengono portati al crash tramite la vulnerabilità evidenziata a causa di un'eccezione non gestita mentre si tenta di allocare una grande quantità di memoria virtuale, ma si tratta di un crash controllato, immediato, che non ammette esecuzione di codice da remoto.

Su Mac OS X il crash è causato da un libreria di sistema (ATSUI, precisamente), e quindi qualunque applicazione usi tale libreria potrebbe essere afflitta dalla medesima falla.

Scenario non dissimile sotto Linux: in questo caso però, la varietà di compilatori utilizzati e di distribuzione in circolazione rende molto più difficile inquadrare la situazione.

Tramite un aggiornamento del post, Mozilla rende comunque nota la possibilità che su Windows Firefox crashi provando il Proof of Concept presente in rete, ma comunica anche che l'evento si è verificato solo ad alcuni utenti.

Da parte mia, usando il PoC reso disponibile da Security Focus, non sono riuscito a portare il browser al crash, né è stata allocata più memoria virtuale del solito.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.41 sec.
    •  | Utenti conn.: 78
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 0.24