[NEWS] Mozilla Firefox 3 URI Launching and XUL Error Page Vulnerabilities

c.m.g · 16-07-2008, 18:02

15 luglio 2008

La società di sicurezza Secunia riporta un Advisory (SA31106) in cui si spiega che sono state trovate multiple vulnerabilità in Mozilla Firefox 3.x, giudicate dalla stessa come Highly critical, che potrebbero essere sfruttate da malintenzionati per bypassdare alcune restrizioni di sicurezza, condurre potenzialmente attacchi di tipo spoofing o compromettere il sistema di un utente ignaro.

Più nello specifico:

1) Una vulnerabilità può essere sfruttata per lanciare ad esempio URIs "file" o "chrome:" in Firefox.

Per maggiori info fare riferimento a questo advisory:
SA31120

2)Un errore di Input nella pagina XUL, non proprio controllata ad hoc prima di essere restituita all'utente, può essere sfruttata da malintenzionati per eseguire attacchi di tipo spoofing.

In combinazione con la falla n° 1, permetterebbero ad un attacker di iniettare codice script arbitrario ed eseguire codice arbitrario malevolo nel contesto "chrome", ma richiede un URI malevolo creato ad hoc che sia passato a Firefox quando il programma non è in esecuzione.

La vulnerabilità è stata confermata nella versione precedenti la 3.0.1.

Soluzione:
Aggiornare il software alla versione 3.0.1.
http://www.mozilla.com/en-US/firefox/

Falle scoperte da:
Il produttore ringrazia:
1) Billy Rios
2) Ben Turner and Dan Veditz (Mozilla developers)

Advisory d'origine:
MFSA 2008-35:
http://www.mozilla.org/security/anno...sa2008-35.html

Fonte: Secunia

c.m.g · 21-07-2008, 19:30

si raccomanda di aggiornare ragazzi!!!

16-07-2008, 18:02	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] Mozilla Firefox 3 URI Launching and XUL Error Page Vulnerabilities 15 luglio 2008 La società di sicurezza Secunia riporta un Advisory (SA31106) in cui si spiega che sono state trovate multiple vulnerabilità in Mozilla Firefox 3.x, giudicate dalla stessa come Highly critical, che potrebbero essere sfruttate da malintenzionati per bypassdare alcune restrizioni di sicurezza, condurre potenzialmente attacchi di tipo spoofing o compromettere il sistema di un utente ignaro. Più nello specifico: 1) Una vulnerabilità può essere sfruttata per lanciare ad esempio URIs "file" o "chrome:" in Firefox. Per maggiori info fare riferimento a questo advisory: SA31120 2)Un errore di Input nella pagina XUL, non proprio controllata ad hoc prima di essere restituita all'utente, può essere sfruttata da malintenzionati per eseguire attacchi di tipo spoofing. In combinazione con la falla n° 1, permetterebbero ad un attacker di iniettare codice script arbitrario ed eseguire codice arbitrario malevolo nel contesto "chrome", ma richiede un URI malevolo creato ad hoc che sia passato a Firefox quando il programma non è in esecuzione. La vulnerabilità è stata confermata nella versione precedenti la 3.0.1. Soluzione: Aggiornare il software alla versione 3.0.1. http://www.mozilla.com/en-US/firefox/ Falle scoperte da: Il produttore ringrazia: 1) Billy Rios 2) Ben Turner and Dan Veditz (Mozilla developers) Advisory d'origine: MFSA 2008-35: http://www.mozilla.org/security/anno...sa2008-35.html Fonte: Secunia __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 16-07-2008 alle 18:10.

21-07-2008, 19:30	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	si raccomanda di aggiornare ragazzi!!! __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email