www.MegaLab.it

[TheHacker66]

Ciao ragazzi, volevo informarvi di una cosa strana che mi è appena successa..

Ho visto l'articolo relativo alla falla XSS di Opera, per curiosità anche se non ho Opera volevo vedere il proof-of-concept che avete linkato.
Nella pagina dove dice "click here" ho cliccato, pensavo non succedesse niente, invece mi è comparso un'avviso di Comodo che diceva che Firefox stava cercando di eseguire Outlook Express. Non è che la falla scoperta affligge anche FF ma in modo diverso?

[gialloporpora]

Hai il link che ci provo anch'io ?

[TheHacker66]

Ecco: http://raffon.net/research/opera/history/op.html clicca poi su "click me.."

[ste_95]

Ti spiego. In Opera vi è la possibilità di modificare le impostazioni, settando un'applicazione diversa associata al protocollo mailto:. In Firefox, viene fatta la richiesta del protocollo mailto:, ma utilizzando l'applicazione associata di default, che nel tuo caso era Outlook Express.

[TheHacker66]

Capito. Grazie

[ste_95]

Attenzione a non confondere volontà e vulnerabilità. In Opera basta uno script per fare tutto ciò, e potrebbe essere embeddato in una pagina ad hoc per settare un'applicazione diversa a mailto: e richiamare la funzione. In Firefox è possibile modificare la preferenza di mailto:, ma non m risulta sia fattibile da script.

Hai modificato il messaggio? Postando è venuto fuori... Lo mando fuori comunque.

[TheHacker66]

Si l'ho modificato.. pensavo anch'io che non si potesse modificare il mailto, era solo che l'avevo letto al momento e allora l'avevo scritto..