|
|||||||
|
|
|
 |
|
|
Strumenti |
14-11-2007, 23:33
|
#1 |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22121
|
[NEWS] Una vecchia falla mette Firefox nei guai
giovedì 15 novembre 2007
Roma - Gli URI tornano ad inguaiare Firefox, seppure questa volta in modo non diretto. La società di sicurezza Secunia ha infatti spiegato in questo advisory che il famoso browser di Mozilla soffre di una vulnerabilità di sicurezza relativa alla gestione del protocollo "jar:". "Il problema consiste nel fatto che il gestore del protocollo "jar:" non verifica correttamente il tipo MIME dei contenuti di un archivio, che vengono eseguiti nel contesto del sito che ospita l'archivio", spiega Secunia. "La cosa può essere sfruttata per condurre attacchi di tipo cross-site scripting verso siti che consentono agli utenti di uploadare certi file (ad esempio, ".zip", ".png", ".doc", ".odt" e ".txt")". Il protocollo "jar:" permette ad un browser di estrarre dei contenuti da un file compresso. Secondo US-CERT, i possibili scenari d'attacco sono più d'uno: tra questi la possibilità che un malintenzionato induca l'utente a cliccare su di un URI (Universal Resource Identifier) maligno che, una vola aperto, esegue del codice dannoso. Il bug è stato confermato anche nell'ultima versione di Firefox, la 2.0.0.9, ed è noto fin dallo scorso febbraio. Nell'ultimo periodo si sono diffusi alcuni exploit, uno dei quali, secondo quanto spiegato in questo post, può essere utilizzato da malintenzionati per accedere all'account Google di un altro utente. In attesa di una patch, gli esperti di sicurezza suggeriscono agli utenti di Firefox di non aprire link "jar:" e di utilizzare l'estensione NoScript per difendersi da eventuali script maligni. Una descrizione approfondita della vulnerabilità è stata fornita dal noto hacker Petko D. Petkov sul proprio blog gnucitizen.org. Fonte: Punto Informatico
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|
|
|
15-11-2007, 08:30
|
#2 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Ottima segnalazione socio
 , indispensabile aggiornare NoScript come citato nella news alla versione 1.1.8, il buon Maone ha provveduto ad implementare l'estensione con la protezione contro gli eventuali attacchi jar URI attackshttp://noscript.net/?ver=1.1.8&prev=1.1.7.7
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 15-11-2007 alle 08:58. |
|
|
|
|
15-11-2007, 09:05
|
#3 |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22121
|
già, considerato che non è una falla diretta di firefox, comunque microsoft ha rilasciato una patch per risolvere il problema alla radice che non ho capito se è possibile scaricare da windows update, comunque è questa:
http://www.hwupgrade.it/forum/showthread.php?t=1602110
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|
|
|
|
21-11-2007, 09:44
|
#4 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Aggiornamento
Il bugfix e relativo aggiornamento alla 2.0.0.10 dovrebbe essere rilasciato la prossima settimana.
__________________
Try again and you will be luckier.
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 12:55.
