Multiple vulnerabilità per Mozilla

Multiple vulnerabilità per Mozilla

Scoperti alcuni bug critici in Mozilla, Mozilla Firefox e Thunderbird.

di pubblicata il , alle 09:40 nel canale Sicurezza
FirefoxMozilla
 
Sono state scoperte alcune falle critiche nei software Mozilla, Mozilla Firefox e Thunderbird. Le versioni afflitte dai bug sono le versioni da 0.x a 1.7.2 per Mozilla, Firefox 0.x e Thunderbird fino alla 0.7.
Le falle, ben 10, sono le seguenti:

1) Buffer overflow causato da alcuni errori presenti nel file "nsMsgCompUtils.cpp" che permette l'esecuzione di codice arbitrario. Il buffer overflow può essere causato attraverso una e-mail modificata appositamente.

2) Restrizioni insufficienti nella gestione degli eventi javascript. Attraverso questa vulnerabilità è possibile accedere alla clipboard in lettura e scrittura.

3) Errori nella funzione "writegroup()" nel file "nsVCardObj.cpp". É possibile causare un buffer overflow con un'e-mail modificata appositamente in modo da poter eseguire codice arbitrario.

4) Errori nel file "nsPop3Protocol.cpp", che gestisce il protocollo POP3. É possibile con delle risposte opportunamente modificate ricevute da un server di posta causare un buffer overflow, con la conseguenza di poter eseguire codice arbitrario.

5) Errata gestione di lunghi links contenenti caratteri non ASCII. Sfruttando questa falla è possibile eseguire codice arbitrario.

6) Buffer overflow causato dalla errata gestione dei files BMP. Come per le altre falle, è possibile eseguire codice arbitrario.

7) Errori nella funzionalità "drag". Se ben sfruttato, è possibile eseguire codice arbitrario.

8) Errata gestione degli script firmati. Un sito potrebbe manipolare le informazioni mostrate nella finestra di sicurezza. É possibile ingannare l'utente facendogli far accettare la finestra di sicurezza, per far eseguire programmi nocivi.

9) Alcuni files installati con l'installer per linux sono scrivibili da chiunque. É possibile rimpiazzare i files con altri al fine di eseguire codice arbitrario.

10) Alcuni files e directory presenti nell'installazione per linux distribuita nel pacchetto "tar.gz" hanno errati permessi. Questo problema può essere sfruttato da utenti locali per rimpiazzare files se umask è configurato per essere ignorato durante la decompressione.

Mozilla ha prontamente rilasciato le versioni aggiornate dei software: Mozilla 1.7.3, Firefox 1.0PR e Thunderbird 0.8.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

104 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Paganetor17 Settembre 2004, 09:51 #1
be', non voglio alimentare flame, ma prima di sbattere letame su Explorer (tutt'altro che invulnerabile, ci mancherebbe!) è il caso di fare un po' di autocritica...

cmq complimenti alle software house sviluppatrici di questi browser, si dimostrano molto serie rilasciando subito le patch o le nuove versioni senza bug...
Azazhell17 Settembre 2004, 09:53 #2
X fortuna che uso Opera
The X17 Settembre 2004, 09:55 #3
Beh... x lo meno quelli di Mozilla hanno prontamente sistemato il problema.. Con M$ si sarebbe dovuto aspettare mesi prima d vedere un Bug-Fix ^_^
Dumah Brazorf17 Settembre 2004, 09:55 #4
Fortuna che nessuno si è accorto di quelle falle!!
Crisidelm17 Settembre 2004, 09:58 #5
The X, tenendo conto di tutte le versioni affette dai suddetti bug, non so dire se sono state scoperte solo recentemente e prontamente emendate oppure vecchi problemi messi a posto solo ora.
ronthalas17 Settembre 2004, 10:03 #6
beh... c'è da dire che in ogni caso alla comunicazione di falle, è seguita subito quella delle patch, e quindi alla fine tutto come prima no?
La macchina che si usa tutti i giorni x andare a lavorare è craccabile anche lei!!!
ichnusa8217 Settembre 2004, 10:06 #7
leggendo attentamente si nota che molte delle falle riguardano email e l'installazione su linux quindi quelle effettive del browser sono solo un paio
Dumah Brazorf17 Settembre 2004, 10:07 #8
Originariamente inviato da Crisidelm
The X, tenendo conto di tutte le versioni affette dai suddetti bug, non so dire se sono state scoperte solo recentemente e prontamente emendate oppure vecchi problemi messi a posto solo ora.


Già, l'importante è che gli utenti aggiornino i loro software altrimenti succede come Sasser e compagnia bella, un giorno esce la patch per correggere il buco il mese dopo il virus che infetta tutti i polli che non hanno aggiornato.
Ora si sa che ci sono queste falle, c'erano anche prima ma se nessuno lo sapeva nessuno le ha sfruttate.
Ciao.
sidewinder17 Settembre 2004, 10:11 #9
Sono gia stati fixati con le ultime versioni di firefox 10PR, Thunderbird 0.8 e Mozilla Suite 1.7.3 usciti in contemporanea giusto 3 gg fa.

sidewinder17 Settembre 2004, 10:12 #10
oops! Non ho letto l'ultima riga

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^