PDA

View Full Version : [NEWS] Mozilla Firefox Javascript Garbage Collector Vulnerability

c.m.g
17-04-2008, 14:42
17 aprile 2008

La società di sicurezza Secunia ha riportato un Advisory (SA29787 (http://secunia.com/advisories/29787/)) in cui si spiega che è stata trovata una vulnerabilità in Mozilla Firefox 2.0.x, giudicata dalla stessa come Highly critical, che potrebbe essere sfruttata potenzialmente da malintenzionati per compromettere il sistema di un utente ignaro.

La vulnerabilità risiederebbe in un errore insito nel Javascript Garbage Collector che potrebbe essere usato da maliciuos people per causare attacchi di tipo memory corruption specialmente attraverso codice Javascript creato ad hoc da malintenzionati.

Lo sfruttamento con successo di questa tecnica potrebbe permettere esecuzione di codice arbitrario malevolo.

La vulnerabilità è stata confermata nella versione 2.0.0.13 e non si esclude che anche le versioni precedenti siano affette.

CVE reference: CVE-2008-1380 (http://secunia.com/cve_reference/CVE-2008-1380/) (Secunia mirror)


Soluzione:
Aggiornare il programma alla versione 2.0.0.14.
http://www.mozilla.com/en-US/firefox/

Bug scoperto da:
Riportato dallo stesso produttore.

Advisory d'origine:
Mozilla Foundation:
http://www.mozilla.org/security/announce/2008/mfsa2008-20.html


Fonte: Secunia (http://secunia.com/advisories/29787/)
c.m.g
17-04-2008, 14:43
articolo correlato di secunia:

Mozilla SeaMonkey Javascript Garbage Collector Vulnerability (http://secunia.com/advisories/29860/)

e di security focus:

Mozilla Firefox/SeaMonkey JavaScript Garbage Collector Memory Corruption Vulnerability (http://www.securityfocus.com/bid/28818)
sampei.nihira
17-04-2008, 18:27
Aggiornato,grazie come sempre c.m.g ;)
c.m.g
17-04-2008, 18:29
di nulla... dovere! ;)
c.m.g
18-04-2008, 10:51
approfondimento su tweakness:

http://www.tweakness.net/index.php?topic=4473

articolo correlato su ossblog:

http://www.ossblog.it/post/3990/firefox-20014-finalmente-daccordo-coi-javascript
Lazza84
21-04-2008, 13:59
21/04/2008

Autore:The King of GnG


http://www.megalab.it/immagini/news/firefox/Firefox_-_use_protection.jpg




Manca ancora qualche mese al disvelamento dei lustrini e delle super-prestazioni di Firefox 3, e i lavori in corso sul browser next-gen di casa Mozilla non impediscono a quest'ultima di dedicare le dovute attenzioni all'attuale generazione del prodotto. Attenzioni che nei giorni scorsi hanno portato alla distribuzione dell'ennesima release di Firefox 2, arrivato ormai alla versione 2.0.0.14.

Rispetto alla precedente revisione 2.0.0.13, l'update serve unicamente a mettere una pezza al bug MFSA 2008-20 classificato come Critical da Mozilla. L'advisory della fondazione parla di un problema di stabilità nell'engine JavaScript introdotto con i fix di Firefox 2.0.0.13, potenzialmente in grado di portare al crash del browser durante le operazioni di garbage collection sulla memoria.



Continua su MegaLab... (http://www.megalab.it/news.php?id=2077)
xcdegasp
21-04-2008, 16:47
discussioni unite, ci aveva già pensato C.M.G. a dare la news venerdì :D
c.m.g
21-04-2008, 18:23
grazie xc, sei sempre mooolto efficente! ;)
Lazza84
21-04-2008, 20:45
ops scusate :p