Punto informatico Network

Document, documento, nuovo, crea

Firefox di nuovo vulnerabile

12/09/2005
- A cura di
Zane.
Archivio - Ma è già pronta la patch. Fondamentale installarla al più presto.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

firefox (1) , nuovo (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 82 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Una nuova falla scoperta nel weekend sta facendo molto parlare in rete per la propria pericolosità.

Scoperta da uno smanettone di nome Tom Ferris e rapidamente ripresa anche da Secunia, che ha attribuito un condivisibile livello di pericolosità Highly critical la debolezza risiede nel modo in cui Firefox gestisce alcuni caratteri speciali, utilizzati nei domini IDN.

Sfruttando un buffer non verificato, un cracker potrebbe causare un buffer overflow, ed eseguire di fatto codice a propria discrezione sulla macchina bersaglio. Niente da scaricare quindi: basta un semplice pagina HTML visualizzata nel browser e la macchina risulta compromessa.

Di più: il codice HTML necessario per crahsare il navigatore è lungo... una sola riga

Firefox_crash.gif

Ferris ha predisposto una pagina dimostrativa, che riesce a crashare Firefox in tutte le versioni attualmente in circolazione, dalla 1.0.6 alla 1.5 beta 1 di cui abbiamo parlato ieri.

Vulnerabile anche Mozilla Suite in tutte le versioni precedenti 1.7.11

I nostri test confermano la validità della scoperta: il navigatore in effetti viene bloccato da una pagina HTML che contenga l'istruzione incriminata.

Firefox_crash2.gif

Sebbene vista così la debolezza sia limitata ad un semplice crash del navigatore, va ricordato che si tratta comunque di una vulnerabilità di tipo buffer overflow, che potrebbe essere eseguita a breve anche per eseguire codice da remoto, e prendere il pieno controllo della macchina bersaglio.

Mozilla Foundation ha rilasciato prontamente un fix al problema, che pone fine alla vulnerabilità: è disponibile per il download qui, sia per Firefox che per Mozilla Suite.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.36 sec.
    •  | Utenti conn.: 107
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.14