28 aprile 2009

La società di sicurezza Secunia (http://secunia.com/) riporta un advisory (SA34866 (http://secunia.com/advisories/34866/)) in cui si spiega che è stata trovata una vulnerabilità in Mozilla Firefox, giudicata dalla stessa come Highly critical, che potrebbe essere sfruttata da malintenzionati per compromettere potenzialmente il computer dfi un utente ignaro.

Il bug risiederebbe in un errore quando si attiva la chiamata alla funzione "nsTextFrame::ClearTextRun()" che può essere sfruttato da malintenzionati per corrompere la memoria.

Lo sfruttamento con successo di tale tecnica potrebbe permettere l'esecuzione di codice arbitrario malevolo.

La vulnerabilità è stata confermata in Mozilla Firefox versione 3.0.9.

Soluzione:
Aggiornare alla versione 3.0.10.

Falla scoperta da:
riportata dal produttore.

Advisory d'origine:
http://www.mozilla.org/security/announce/2009/mfsa2009-23.html




Fonte: Secunia (http://secunia.com/advisories/34866/)

Arriva Firefox 3.0.10 con altri fix di sicurezza (http://www.downloadblog.it/post/9773/arriva-firefox-3010-con-altri-fix-di-sicurezza) su downloadblog

cercando un estensione sul sito di mozilla, vedo un vecchio grafico nel quale si afferma che nel 2006 firefox è stato vulnerabile solo 9 giorni su 365 (per vulnerabile si intende che il codice che sfruttava la vulnerabilità era già in circolazione) :stordita:

ho fatto una brevissima ricerca e la vulnerabilità in questione dovrebbe essere questa (non vorrei sbagliare) http://forums.mozillazine.org/viewtopic.php?t=408603

sinceramente non sono in grado di stabilire se questa vulnerabilità poteva essere resa innocua da noscript (tenderei a pensare di si,anche se vado proprio ad occhio :asd: quindi è necessario il parere di qualcuno più esperto):)

nel caso la risposta fosse affermativa firefox in coppia con noscript non è stato vulnerabile nemmeno un giorno nel 2006 ... prendendo per buoni i dati del test:)