[NEWS] Mozilla Firefox Javascript Garbage Collector Vulnerability

c.m.g · 17-04-2008, 14:42

17 aprile 2008

La società di sicurezza Secunia ha riportato un Advisory (SA29787) in cui si spiega che è stata trovata una vulnerabilità in Mozilla Firefox 2.0.x, giudicata dalla stessa come Highly critical, che potrebbe essere sfruttata potenzialmente da malintenzionati per compromettere il sistema di un utente ignaro.

La vulnerabilità risiederebbe in un errore insito nel Javascript Garbage Collector che potrebbe essere usato da maliciuos people per causare attacchi di tipo memory corruption specialmente attraverso codice Javascript creato ad hoc da malintenzionati.

Lo sfruttamento con successo di questa tecnica potrebbe permettere esecuzione di codice arbitrario malevolo.

La vulnerabilità è stata confermata nella versione 2.0.0.13 e non si esclude che anche le versioni precedenti siano affette.

CVE reference: CVE-2008-1380 (Secunia mirror)

Soluzione:
Aggiornare il programma alla versione 2.0.0.14.
http://www.mozilla.com/en-US/firefox/

Bug scoperto da:
Riportato dallo stesso produttore.

Advisory d'origine:
Mozilla Foundation:
http://www.mozilla.org/security/anno...sa2008-20.html

Fonte: Secunia

c.m.g · 17-04-2008, 14:43

articolo correlato di secunia:

Mozilla SeaMonkey Javascript Garbage Collector Vulnerability

e di security focus:

Mozilla Firefox/SeaMonkey JavaScript Garbage Collector Memory Corruption Vulnerability

sampei.nihira · 17-04-2008, 18:27

Aggiornato,grazie come sempre c.m.g

c.m.g · 17-04-2008, 18:29

di nulla... dovere!

c.m.g · 18-04-2008, 10:51

approfondimento su tweakness:

http://www.tweakness.net/index.php?topic=4473

articolo correlato su ossblog:

http://www.ossblog.it/post/3990/fire...coi-javascript

Lazza84 · 21-04-2008, 13:59

21/04/2008

Autore:The King of GnG

Manca ancora qualche mese al disvelamento dei lustrini e delle super-prestazioni di Firefox 3, e i lavori in corso sul browser next-gen di casa Mozilla non impediscono a quest'ultima di dedicare le dovute attenzioni all'attuale generazione del prodotto. Attenzioni che nei giorni scorsi hanno portato alla distribuzione dell'ennesima release di Firefox 2, arrivato ormai alla versione 2.0.0.14.

Rispetto alla precedente revisione 2.0.0.13, l'update serve unicamente a mettere una pezza al bug MFSA 2008-20 classificato come Critical da Mozilla. L'advisory della fondazione parla di un problema di stabilità nell'engine JavaScript introdotto con i fix di Firefox 2.0.0.13, potenzialmente in grado di portare al crash del browser durante le operazioni di garbage collection sulla memoria.

Continua su MegaLab...

xcdegasp · 21-04-2008, 16:47

discussioni unite, ci aveva già pensato C.M.G. a dare la news venerdì

c.m.g · 21-04-2008, 18:23

grazie xc, sei sempre mooolto efficente!

Lazza84 · 21-04-2008, 20:45

ops scusate

17-04-2008, 14:42	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] Mozilla Firefox Javascript Garbage Collector Vulnerability 17 aprile 2008 La società di sicurezza Secunia ha riportato un Advisory (SA29787) in cui si spiega che è stata trovata una vulnerabilità in Mozilla Firefox 2.0.x, giudicata dalla stessa come Highly critical, che potrebbe essere sfruttata potenzialmente da malintenzionati per compromettere il sistema di un utente ignaro. La vulnerabilità risiederebbe in un errore insito nel Javascript Garbage Collector che potrebbe essere usato da maliciuos people per causare attacchi di tipo memory corruption specialmente attraverso codice Javascript creato ad hoc da malintenzionati. Lo sfruttamento con successo di questa tecnica potrebbe permettere esecuzione di codice arbitrario malevolo. La vulnerabilità è stata confermata nella versione 2.0.0.13 e non si esclude che anche le versioni precedenti siano affette. CVE reference: CVE-2008-1380 (Secunia mirror) Soluzione: Aggiornare il programma alla versione 2.0.0.14. http://www.mozilla.com/en-US/firefox/ Bug scoperto da: Riportato dallo stesso produttore. Advisory d'origine: Mozilla Foundation: http://www.mozilla.org/security/anno...sa2008-20.html Fonte: Secunia __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 17-04-2008 alle 17:59.

17-04-2008, 14:43	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	articolo correlato di secunia: Mozilla SeaMonkey Javascript Garbage Collector Vulnerability e di security focus: Mozilla Firefox/SeaMonkey JavaScript Garbage Collector Memory Corruption Vulnerability __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 17-04-2008 alle 18:00.

17-04-2008, 18:29	#4
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	di nulla... dovere! __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

18-04-2008, 10:51	#5
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	approfondimento su tweakness: http://www.tweakness.net/index.php?topic=4473 articolo correlato su ossblog: http://www.ossblog.it/post/3990/fire...coi-javascript __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 18-04-2008 alle 11:05.

21-04-2008, 13:59	#6
Lazza84 Senior Member Iscritto dal: Aug 2006 Città: µTorrent Messaggi: 1634	[NEWS] Firefox si aggiorna ancora 21/04/2008 Autore:The King of GnG Manca ancora qualche mese al disvelamento dei lustrini e delle super-prestazioni di Firefox 3, e i lavori in corso sul browser next-gen di casa Mozilla non impediscono a quest'ultima di dedicare le dovute attenzioni all'attuale generazione del prodotto. Attenzioni che nei giorni scorsi hanno portato alla distribuzione dell'ennesima release di Firefox 2, arrivato ormai alla versione 2.0.0.14. Rispetto alla precedente revisione 2.0.0.13, l'update serve unicamente a mettere una pezza al bug MFSA 2008-20 classificato come Critical da Mozilla. L'advisory della fondazione parla di un problema di stabilità nell'engine JavaScript introdotto con i fix di Firefox 2.0.0.13, potenzialmente in grado di portare al crash del browser durante le operazioni di garbage collection sulla memoria. Continua su MegaLab... __________________ Sono il Signor Wolf... Risolvo problemi. -Pulp Fiction- S.M.A.R.T. e HD in raid - www.inalto.org - Nikon Coolpix P7700 - Panasonic Lumix DMC-LF1

17-04-2008, 18:27	#3
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	Aggiornato,grazie come sempre c.m.g

21-04-2008, 16:47	#7
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	discussioni unite, ci aveva già pensato C.M.G. a dare la news venerdì __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

21-04-2008, 18:23	#8
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	grazie xc, sei sempre mooolto efficente! __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

21-04-2008, 20:45	#9
Lazza84 Senior Member Iscritto dal: Aug 2006 Città: µTorrent Messaggi: 1634	ops scusate __________________ Sono il Signor Wolf... Risolvo problemi. -Pulp Fiction- S.M.A.R.T. e HD in raid - www.inalto.org - Nikon Coolpix P7700 - Panasonic Lumix DMC-LF1

Strumenti
Mostra una versione stampabile Invia questa pagina per email