[NEWS] Multiple Web Browser BMP Partial Palette Information Disclosure ...

c.m.g · 17-02-2008, 18:09

16 febbraio 2008

Multiple Web Browser BMP Partial Palette Information Disclosure and
Denial Of Service Vulnerability

Il sito di sicurezza Security Focus riporta una vulnerabilità data da una errata progettazione in due browser diversi (Opera e Firefox) che sarebbero inclini a perdita di informazioni sensibili e attacchi di tipo DoS (denial of service).
Un attacker può usare questo bug per raccogliere dati sensibili, far crashare l'applicazione affetta da questo vulnerabilità e negare il servizio ad un leggittimo user (DoS).

Versioni affette:

Opera Software Opera Web Browser 9.50 beta *
Mozilla Firefox 2.0 8
Mozilla Firefox 2.0 .9
Mozilla Firefox 2.0 .7
Mozilla Firefox 2.0 .6
Mozilla Firefox 2.0 .5
Mozilla Firefox 2.0 .4
Mozilla Firefox 2.0 .3
Mozilla Firefox 2.0 .1
Mozilla Firefox 2.0.0.2
Mozilla Firefox 2.0.0.11
Mozilla Firefox 2.0.0.10

* nota bene: il bug colpisce solo una versione di Opera ancora in versione beta.

Non vulnerabili:

Opera Software Opera Web Browser 9.25
Opera Software Opera Web Browser 9.24
Mozilla Firefox 2.0.0.12

Soluzioni:

Questo bug è stato risolto nelle versioni dei browser ultimi (FireFox 2.0.0.12 e Opera 9.25.).

Fonte: SecurityFocus

sampei.nihira · 17-02-2008, 18:50

c.m.g · 19-02-2008, 16:30

approfondimento su webnews:

http://www.webnews.it/news/leggi/777...refox-e-opera/

c.m.g · 19-02-2008, 20:24

ripreso anche da ossblog:

http://www.ossblog.it/post/3784/il-p...ien-dal-bitmap

leolas · 20-02-2008, 12:27

Opera e Firefox: la cronologia è a rischio

Fonte: tuxjournal.it

E' stata scoperta una nuova falla di sicurezza all’interno dei famosi browser Firefox e Opera. Il problema risiede nel modo con cui gestiscono le immagini all’interno della cronologia del browser.

La falla, scoperta da Gynvael Coldwind di Vexillium.org, è stata resa nota all’interno di un advisory e dimostrata grazie a un video. In particolare, il problema è dovuto ad una cattiva gestione delle immagini in formato bitmap (.BMP). Un’immagine appositamente creata potrebbe permettere a un attacker di rubare informazioni sensibili dalla cronologia dei due browser, capendo così quali siti abbia recentemente visitato la vittima.

La falla, dice Coldwind, può essere semplicemente sfruttata utilizzando il tag “canvas” di HTML per catturare i dati sensibili. Poi, utilizzando JavaScript, è possibile inviare il tutto ad un server remoto. La falla potrebbe anche mandare in crash Firefox e affligge le versioni 2.0.0.11 e superiori, così come la versione beta di Opera 9.50. Al momento non sono state rilasciate patch dai due produttori in grado di risolvere questo problema.

c.m.g · 20-02-2008, 12:38

http://www.hwupgrade.it/forum/showthread.php?t=1680971

xcdegasp · 20-02-2008, 13:01

se la buona norma prevede sempre la pulitura di questa alla chiusura o apertura del browser le info rubate sono comunque limitate alla sessione aperta

ps: ho unificato due thread

leolas · 20-02-2008, 13:18

cavolo! ancora

Non vedendo le parole firefox, opera, segnalibri ecc ecc tra le news, avevo creduto c he fosse una news nuova

17-02-2008, 18:09	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] Multiple Web Browser BMP Partial Palette Information Disclosure ... 16 febbraio 2008 Multiple Web Browser BMP Partial Palette Information Disclosure and Denial Of Service Vulnerability Il sito di sicurezza Security Focus riporta una vulnerabilità data da una errata progettazione in due browser diversi (Opera e Firefox) che sarebbero inclini a perdita di informazioni sensibili e attacchi di tipo DoS (denial of service). Un attacker può usare questo bug per raccogliere dati sensibili, far crashare l'applicazione affetta da questo vulnerabilità e negare il servizio ad un leggittimo user (DoS). Versioni affette: Opera Software Opera Web Browser 9.50 beta * Mozilla Firefox 2.0 8 Mozilla Firefox 2.0 .9 Mozilla Firefox 2.0 .7 Mozilla Firefox 2.0 .6 Mozilla Firefox 2.0 .5 Mozilla Firefox 2.0 .4 Mozilla Firefox 2.0 .3 Mozilla Firefox 2.0 .1 Mozilla Firefox 2.0.0.2 Mozilla Firefox 2.0.0.11 Mozilla Firefox 2.0.0.10 * nota bene: il bug colpisce solo una versione di Opera ancora in versione beta. Non vulnerabili: Opera Software Opera Web Browser 9.25 Opera Software Opera Web Browser 9.24 Mozilla Firefox 2.0.0.12 Soluzioni: Questo bug è stato risolto nelle versioni dei browser ultimi (FireFox 2.0.0.12 e Opera 9.25.). Fonte: SecurityFocus __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

19-02-2008, 16:30	#3
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	approfondimento su webnews: http://www.webnews.it/news/leggi/777...refox-e-opera/ __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

19-02-2008, 20:24	#4
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	ripreso anche da ossblog: http://www.ossblog.it/post/3784/il-p...ien-dal-bitmap __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

20-02-2008, 12:27	#5
leolas Senior Member Iscritto dal: Feb 2007 Città: Modena Messaggi: 4904	[NEWS]Opera e Firefox: la cronologia è a rischio Opera e Firefox: la cronologia è a rischio Fonte: tuxjournal.it E' stata scoperta una nuova falla di sicurezza all’interno dei famosi browser Firefox e Opera. Il problema risiede nel modo con cui gestiscono le immagini all’interno della cronologia del browser. La falla, scoperta da Gynvael Coldwind di Vexillium.org, è stata resa nota all’interno di un advisory e dimostrata grazie a un video. In particolare, il problema è dovuto ad una cattiva gestione delle immagini in formato bitmap (.BMP). Un’immagine appositamente creata potrebbe permettere a un attacker di rubare informazioni sensibili dalla cronologia dei due browser, capendo così quali siti abbia recentemente visitato la vittima. La falla, dice Coldwind, può essere semplicemente sfruttata utilizzando il tag “canvas” di HTML per catturare i dati sensibili. Poi, utilizzando JavaScript, è possibile inviare il tutto ad un server remoto. La falla potrebbe anche mandare in crash Firefox e affligge le versioni 2.0.0.11 e superiori, così come la versione beta di Opera 9.50. Al momento non sono state rilasciate patch dai due produttori in grado di risolvere questo problema.

20-02-2008, 12:38	#6
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	http://www.hwupgrade.it/forum/showthread.php?t=1680971 __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

17-02-2008, 18:50	#2
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350

20-02-2008, 13:01	#7
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	se la buona norma prevede sempre la pulitura di questa alla chiusura o apertura del browser le info rubate sono comunque limitate alla sessione aperta ps: ho unificato due thread __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV Ultima modifica di xcdegasp : 20-02-2008 alle 13:09.

20-02-2008, 13:18	#8
leolas Senior Member Iscritto dal: Feb 2007 Città: Modena Messaggi: 4904	cavolo! ancora Non vedendo le parole firefox, opera, segnalibri ecc ecc tra le news, avevo creduto c he fosse una news nuova

Strumenti
Mostra una versione stampabile Invia questa pagina per email