c.m.g
14-11-2007, 23:33
giovedì 15 novembre 2007
Roma - Gli URI (http://punto-informatico.it/p.aspx?i=2113880) tornano ad inguaiare Firefox, seppure questa volta in modo non diretto. La società di sicurezza Secunia ha infatti spiegato in questo advisory (http://secunia.com/advisories/27605/) che il famoso browser di Mozilla (http://www.mozilla.org/) soffre di una vulnerabilità di sicurezza relativa alla gestione del protocollo "jar:".
"Il problema consiste nel fatto che il gestore del protocollo "jar:" non verifica correttamente il tipo MIME dei contenuti di un archivio, che vengono eseguiti nel contesto del sito che ospita l'archivio", spiega Secunia. "La cosa può essere sfruttata per condurre attacchi di tipo cross-site scripting verso siti che consentono agli utenti di uploadare certi file (ad esempio, ".zip", ".png", ".doc", ".odt" e ".txt")".
Il protocollo "jar:" permette ad un browser di estrarre dei contenuti da un file compresso.
Secondo US-CERT (http://www.kb.cert.org/vuls/id/715737), i possibili scenari d'attacco sono più d'uno: tra questi la possibilità che un malintenzionato induca l'utente a cliccare su di un URI (Universal Resource Identifier) maligno che, una vola aperto, esegue del codice dannoso.
Il bug è stato confermato anche nell'ultima versione di Firefox, la 2.0.0.9, ed è noto fin dallo scorso febbraio. Nell'ultimo periodo si sono diffusi alcuni exploit, uno dei quali, secondo quanto spiegato in questo post (http://dailyapps.net/2007/11/firefox-security-threat-google-is-vulnerable/), può essere utilizzato da malintenzionati per accedere all'account Google (http://www.google.com/) di un altro utente.
In attesa di una patch, gli esperti di sicurezza suggeriscono agli utenti di Firefox di non aprire link "jar:" e di utilizzare l'estensione NoScript (https://addons.mozilla.org/en-US/firefox/addon/722) per difendersi da eventuali script maligni.
Una descrizione approfondita (http://www.gnucitizen.org/blog/web-mayhem-firefoxs-jar-protocol-issues) della vulnerabilità è stata fornita dal noto hacker Petko D. Petkov sul proprio blog gnucitizen.org.
Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2115009)
Roma - Gli URI (http://punto-informatico.it/p.aspx?i=2113880) tornano ad inguaiare Firefox, seppure questa volta in modo non diretto. La società di sicurezza Secunia ha infatti spiegato in questo advisory (http://secunia.com/advisories/27605/) che il famoso browser di Mozilla (http://www.mozilla.org/) soffre di una vulnerabilità di sicurezza relativa alla gestione del protocollo "jar:".
"Il problema consiste nel fatto che il gestore del protocollo "jar:" non verifica correttamente il tipo MIME dei contenuti di un archivio, che vengono eseguiti nel contesto del sito che ospita l'archivio", spiega Secunia. "La cosa può essere sfruttata per condurre attacchi di tipo cross-site scripting verso siti che consentono agli utenti di uploadare certi file (ad esempio, ".zip", ".png", ".doc", ".odt" e ".txt")".
Il protocollo "jar:" permette ad un browser di estrarre dei contenuti da un file compresso.
Secondo US-CERT (http://www.kb.cert.org/vuls/id/715737), i possibili scenari d'attacco sono più d'uno: tra questi la possibilità che un malintenzionato induca l'utente a cliccare su di un URI (Universal Resource Identifier) maligno che, una vola aperto, esegue del codice dannoso.
Il bug è stato confermato anche nell'ultima versione di Firefox, la 2.0.0.9, ed è noto fin dallo scorso febbraio. Nell'ultimo periodo si sono diffusi alcuni exploit, uno dei quali, secondo quanto spiegato in questo post (http://dailyapps.net/2007/11/firefox-security-threat-google-is-vulnerable/), può essere utilizzato da malintenzionati per accedere all'account Google (http://www.google.com/) di un altro utente.
In attesa di una patch, gli esperti di sicurezza suggeriscono agli utenti di Firefox di non aprire link "jar:" e di utilizzare l'estensione NoScript (https://addons.mozilla.org/en-US/firefox/addon/722) per difendersi da eventuali script maligni.
Una descrizione approfondita (http://www.gnucitizen.org/blog/web-mayhem-firefoxs-jar-protocol-issues) della vulnerabilità è stata fornita dal noto hacker Petko D. Petkov sul proprio blog gnucitizen.org.
Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2115009)