[NEWS] Mozilla Firefox "nsTextFrame::ClearTextRun()" Memory Corruption

c.m.g · 28-04-2009, 09:41

28 aprile 2009

La società di sicurezza Secunia riporta un advisory (SA34866) in cui si spiega che è stata trovata una vulnerabilità in Mozilla Firefox, giudicata dalla stessa come Highly critical, che potrebbe essere sfruttata da malintenzionati per compromettere potenzialmente il computer dfi un utente ignaro.

Il bug risiederebbe in un errore quando si attiva la chiamata alla funzione "nsTextFrame::ClearTextRun()" che può essere sfruttato da malintenzionati per corrompere la memoria.

Lo sfruttamento con successo di tale tecnica potrebbe permettere l'esecuzione di codice arbitrario malevolo.

La vulnerabilità è stata confermata in Mozilla Firefox versione 3.0.9.

Soluzione:
Aggiornare alla versione 3.0.10.

Falla scoperta da:
riportata dal produttore.

Advisory d'origine:
http://www.mozilla.org/security/anno...sa2009-23.html

Fonte: Secunia

c.m.g · 28-04-2009, 13:07

Arriva Firefox 3.0.10 con altri fix di sicurezza su downloadblog

28-04-2009, 14:35

cercando un estensione sul sito di mozilla, vedo un vecchio grafico nel quale si afferma che nel 2006 firefox è stato vulnerabile solo 9 giorni su 365 (per vulnerabile si intende che il codice che sfruttava la vulnerabilità era già in circolazione)

ho fatto una brevissima ricerca e la vulnerabilità in questione dovrebbe essere questa (non vorrei sbagliare) http://forums.mozillazine.org/viewtopic.php?t=408603

sinceramente non sono in grado di stabilire se questa vulnerabilità poteva essere resa innocua da noscript (tenderei a pensare di si,anche se vado proprio ad occhio

quindi è necessario il parere di qualcuno più esperto)

nel caso la risposta fosse affermativa firefox in coppia con noscript non è stato vulnerabile nemmeno un giorno nel 2006 ... prendendo per buoni i dati del test

28-04-2009, 09:41	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] Mozilla Firefox "nsTextFrame::ClearTextRun()" Memory Corruption 28 aprile 2009 La società di sicurezza Secunia riporta un advisory (SA34866) in cui si spiega che è stata trovata una vulnerabilità in Mozilla Firefox, giudicata dalla stessa come Highly critical, che potrebbe essere sfruttata da malintenzionati per compromettere potenzialmente il computer dfi un utente ignaro. Il bug risiederebbe in un errore quando si attiva la chiamata alla funzione "nsTextFrame::ClearTextRun()" che può essere sfruttato da malintenzionati per corrompere la memoria. Lo sfruttamento con successo di tale tecnica potrebbe permettere l'esecuzione di codice arbitrario malevolo. La vulnerabilità è stata confermata in Mozilla Firefox versione 3.0.9. Soluzione: Aggiornare alla versione 3.0.10. Falla scoperta da: riportata dal produttore. Advisory d'origine: http://www.mozilla.org/security/anno...sa2009-23.html Fonte: Secunia __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

28-04-2009, 13:07	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	Arriva Firefox 3.0.10 con altri fix di sicurezza su downloadblog __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

28-04-2009, 14:35	#3
ShoShen Messaggi: n/a	cercando un estensione sul sito di mozilla, vedo un vecchio grafico nel quale si afferma che nel 2006 firefox è stato vulnerabile solo 9 giorni su 365 (per vulnerabile si intende che il codice che sfruttava la vulnerabilità era già in circolazione) ho fatto una brevissima ricerca e la vulnerabilità in questione dovrebbe essere questa (non vorrei sbagliare) http://forums.mozillazine.org/viewtopic.php?t=408603 sinceramente non sono in grado di stabilire se questa vulnerabilità poteva essere resa innocua da noscript (tenderei a pensare di si,anche se vado proprio ad occhio quindi è necessario il parere di qualcuno più esperto) nel caso la risposta fosse affermativa firefox in coppia con noscript non è stato vulnerabile nemmeno un giorno nel 2006 ... prendendo per buoni i dati del test Ultima modifica di ShoShen : 28-04-2009 alle 14:48.

Strumenti
Mostra una versione stampabile Invia questa pagina per email