c.m.g
20-02-2009, 08:33
19 febbraio 2009
Security Focus (http://www.securityfocus.com/) riporta un bollettino di sicurezza (Bugtraq ID 33837 (http://www.securityfocus.com/bid/33837/info)) in cui si spiega che è stata trovata una vulnerabilità in Mozilla Firefox, che riguarda lo URI-spoofing in quanto non gestirebbe correttamente la manipolazione di alcuni caratteri specifici in un un international domain name (IDN)/subdomains.
Un attacker può forzare questa falla per spoofare il sorgente dell'URI di un sito presentato appartenente ad un insospettabile user. Questo può dare un falso senso di sicurezza perchè l'user può essere presentato con un sorgente URI di un sito sicuro con interazione con un sito malevolo appartenente all'attacker.
La vulnerabilità è stata confermata in Firefox 3.0.6; Non si esclude che anche altre versioni siano affette dal medesimo bug.
Versioni fallate:
Mozilla Firefox 3.0.6
Mozilla Firefox 3.0.5
Mozilla Firefox 3.0.4
Mozilla Firefox 3.0.3
Mozilla Firefox 3.0.2
Mozilla Firefox 3.0.1
Mozilla Firefox 3.0
Classe falla:
Input Validation Error
Soluzione:
Al momento non sono state rilasciate nuove versioni che correggono il problema.
Falla scoperta da:
Moxie Marlinspike
Advisory d'origine:
https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf
http://www.mozilla.org/projects/security/tld-idn-policy-list.html
Fonte: SecurityFocus (http://www.securityfocus.com/bid/33837/info)
Security Focus (http://www.securityfocus.com/) riporta un bollettino di sicurezza (Bugtraq ID 33837 (http://www.securityfocus.com/bid/33837/info)) in cui si spiega che è stata trovata una vulnerabilità in Mozilla Firefox, che riguarda lo URI-spoofing in quanto non gestirebbe correttamente la manipolazione di alcuni caratteri specifici in un un international domain name (IDN)/subdomains.
Un attacker può forzare questa falla per spoofare il sorgente dell'URI di un sito presentato appartenente ad un insospettabile user. Questo può dare un falso senso di sicurezza perchè l'user può essere presentato con un sorgente URI di un sito sicuro con interazione con un sito malevolo appartenente all'attacker.
La vulnerabilità è stata confermata in Firefox 3.0.6; Non si esclude che anche altre versioni siano affette dal medesimo bug.
Versioni fallate:
Mozilla Firefox 3.0.6
Mozilla Firefox 3.0.5
Mozilla Firefox 3.0.4
Mozilla Firefox 3.0.3
Mozilla Firefox 3.0.2
Mozilla Firefox 3.0.1
Mozilla Firefox 3.0
Classe falla:
Input Validation Error
Soluzione:
Al momento non sono state rilasciate nuove versioni che correggono il problema.
Falla scoperta da:
Moxie Marlinspike
Advisory d'origine:
https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf
http://www.mozilla.org/projects/security/tld-idn-policy-list.html
Fonte: SecurityFocus (http://www.securityfocus.com/bid/33837/info)