16 febbraio 2008

Multiple Web Browser BMP Partial Palette Information Disclosure and
Denial Of Service Vulnerability

Il sito di sicurezza Security Focus (http://www.securityfocus.com) riporta una vulnerabilità data da una errata progettazione in due browser diversi (Opera e Firefox) che sarebbero inclini a perdita di informazioni sensibili e attacchi di tipo DoS (denial of service).
Un attacker può usare questo bug per raccogliere dati sensibili, far crashare l'applicazione affetta da questo vulnerabilità e negare il servizio ad un leggittimo user (DoS).

Versioni affette:

Opera Software Opera Web Browser 9.50 beta *
Mozilla Firefox 2.0 8
Mozilla Firefox 2.0 .9
Mozilla Firefox 2.0 .7
Mozilla Firefox 2.0 .6
Mozilla Firefox 2.0 .5
Mozilla Firefox 2.0 .4
Mozilla Firefox 2.0 .3
Mozilla Firefox 2.0 .1
Mozilla Firefox 2.0.0.2
Mozilla Firefox 2.0.0.11
Mozilla Firefox 2.0.0.10

* nota bene: il bug colpisce solo una versione di Opera ancora in versione beta.

Non vulnerabili:

Opera Software Opera Web Browser 9.25
Opera Software Opera Web Browser 9.24
Mozilla Firefox 2.0.0.12

Soluzioni:

Questo bug è stato risolto nelle versioni dei browser ultimi (FireFox 2.0.0.12 e Opera 9.25.).


Fonte: SecurityFocus (http://www.securityfocus.com/bid/27826/info)

;)

approfondimento su webnews:

http://www.webnews.it/news/leggi/7771/vulnerabilita-in-firefox-e-opera/

ripreso anche da ossblog:

http://www.ossblog.it/post/3784/il-pericolo-vien-dal-bitmap

Opera e Firefox: la cronologia è a rischio

http://www.tuxjournal.net/wp-content/uploads/2007/08/sicurezza.jpg

Fonte: tuxjournal.it (http://www.tuxjournal.net/?p=2610)

E' stata scoperta una nuova falla di sicurezza all’interno dei famosi browser Firefox e Opera. Il problema risiede nel modo con cui gestiscono le immagini all’interno della cronologia del browser.

http://forum.allsiemens.com/files/opera_256.png http://www.mozilla.sk/wp-content/images/logo/firefox48.png

La falla, scoperta da Gynvael Coldwind di Vexillium.org, è stata resa nota all’interno di un advisory e dimostrata grazie a un video. In particolare, il problema è dovuto ad una cattiva gestione delle immagini in formato bitmap (.BMP). Un’immagine appositamente creata potrebbe permettere a un attacker di rubare informazioni sensibili dalla cronologia dei due browser, capendo così quali siti abbia recentemente visitato la vittima.

La falla, dice Coldwind, può essere semplicemente sfruttata utilizzando il tag “canvas” di HTML per catturare i dati sensibili. Poi, utilizzando JavaScript, è possibile inviare il tutto ad un server remoto. La falla potrebbe anche mandare in crash Firefox e affligge le versioni 2.0.0.11 e superiori, così come la versione beta di Opera 9.50. Al momento non sono state rilasciate patch dai due produttori in grado di risolvere questo problema.

http://www.hwupgrade.it/forum/showthread.php?t=1680971 ;)

se la buona norma prevede sempre la pulitura di questa alla chiusura o apertura del browser le info rubate sono comunque limitate alla sessione aperta :)


ps: ho unificato due thread

cavolo! ancora :muro:

:D


Non vedendo le parole firefox, opera, segnalibri ecc ecc tra le news, avevo creduto c he fosse una news nuova :fagiano: :muro: