14 luglio 2009

La società di sicurezza Secunia (http://secunia.com/) riporta un advisory (SA35798 (http://secunia.com/advisories/35798/)) in cui si spiega che è stata trovata una vulnerabilità in Mozilla Firefox, giudicata dalla stessa come Highly critical, che potrebbe essere sfruttata da malintenzionati per compromettere il computer di un utente ignaro.

La falla sarebbe causata da un errore nel processing di codice JavaScript nell'interazione, ad esempio, di tag HTML come "font" nel browser. Questo può essere sfruttato per causare attacchi di corruzione della memoria.

Lo sfruttamento con successo del bug potrebbe permettere l'esecuzione di codice arbitrario malevolo.

La vulnerabilità è stata confermata nella versione 3.5. Altre versioni potrebbero essere affette dalla medesima.

Soluzione:
Al momento non esistono nuove versioni che risolvono il problema alla radice, quindi si raccomanda di non visitare siti di dubbia provenienza e di non cliccare su link sconosciuti.


Software fallato:
Mozilla Firefox 3.5.x

Falla scoperta da:
SBerry (Simon Berry-Byrne)

Advisory d'origine:
http://milw0rm.com/exploits/9137





Fonte: Secunia (http://secunia.com/advisories/35798/)

.

Mozilla Firefox 3.5 Remote Code Execution Vulnerability (http://www.securityfocus.com/bid/35660) su security focus

Firefox 3.5: bug zero-day, minaccia JavaScript (http://www.webnews.it/news/leggi/11176/firefox-35-bug-zeroday-minaccia-javascript/) su webnews

Firefox 3.5: scoperta vulnerabilità critica nel compilatore JavaScript (http://www.downloadblog.it/post/10399/firefox-35-scoperta-vulnerabilita-critica-nel-compilatore-javascript) su downloadblog

Firefox 3.5, sicurezza a rischio (http://punto-informatico.it/2671742/PI/Brevi/firefox-35-sicurezza-rischio.aspx) su punto informatico - brevi