c.m.g
16-07-2008, 18:02
15 luglio 2008
La società di sicurezza Secunia (http://secunia.com/) riporta un Advisory (SA31106 (http://secunia.com/advisories/31106/)) in cui si spiega che sono state trovate multiple vulnerabilità in Mozilla Firefox 3.x, giudicate dalla stessa come Highly critical, che potrebbero essere sfruttate da malintenzionati per bypassdare alcune restrizioni di sicurezza, condurre potenzialmente attacchi di tipo spoofing o compromettere il sistema di un utente ignaro.
Più nello specifico:
1) Una vulnerabilità può essere sfruttata per lanciare ad esempio URIs "file" o "chrome:" in Firefox.
Per maggiori info fare riferimento a questo advisory:
SA31120 (http://secunia.com/SA31120/)
2)Un errore di Input nella pagina XUL, non proprio controllata ad hoc prima di essere restituita all'utente, può essere sfruttata da malintenzionati per eseguire attacchi di tipo spoofing.
In combinazione con la falla n° 1, permetterebbero ad un attacker di iniettare codice script arbitrario ed eseguire codice arbitrario malevolo nel contesto "chrome", ma richiede un URI malevolo creato ad hoc che sia passato a Firefox quando il programma non è in esecuzione.
La vulnerabilità è stata confermata nella versione precedenti la 3.0.1.
Soluzione:
Aggiornare il software alla versione 3.0.1.
http://www.mozilla.com/en-US/firefox/
Falle scoperte da:
Il produttore ringrazia:
1) Billy Rios
2) Ben Turner and Dan Veditz (Mozilla developers)
Advisory d'origine:
MFSA 2008-35:
http://www.mozilla.org/security/announce/2008/mfsa2008-35.html
Fonte: Secunia (http://secunia.com/advisories/31106/)
La società di sicurezza Secunia (http://secunia.com/) riporta un Advisory (SA31106 (http://secunia.com/advisories/31106/)) in cui si spiega che sono state trovate multiple vulnerabilità in Mozilla Firefox 3.x, giudicate dalla stessa come Highly critical, che potrebbero essere sfruttate da malintenzionati per bypassdare alcune restrizioni di sicurezza, condurre potenzialmente attacchi di tipo spoofing o compromettere il sistema di un utente ignaro.
Più nello specifico:
1) Una vulnerabilità può essere sfruttata per lanciare ad esempio URIs "file" o "chrome:" in Firefox.
Per maggiori info fare riferimento a questo advisory:
SA31120 (http://secunia.com/SA31120/)
2)Un errore di Input nella pagina XUL, non proprio controllata ad hoc prima di essere restituita all'utente, può essere sfruttata da malintenzionati per eseguire attacchi di tipo spoofing.
In combinazione con la falla n° 1, permetterebbero ad un attacker di iniettare codice script arbitrario ed eseguire codice arbitrario malevolo nel contesto "chrome", ma richiede un URI malevolo creato ad hoc che sia passato a Firefox quando il programma non è in esecuzione.
La vulnerabilità è stata confermata nella versione precedenti la 3.0.1.
Soluzione:
Aggiornare il software alla versione 3.0.1.
http://www.mozilla.com/en-US/firefox/
Falle scoperte da:
Il produttore ringrazia:
1) Billy Rios
2) Ben Turner and Dan Veditz (Mozilla developers)
Advisory d'origine:
MFSA 2008-35:
http://www.mozilla.org/security/announce/2008/mfsa2008-35.html
Fonte: Secunia (http://secunia.com/advisories/31106/)