Telefonino.net network
Win Base Win Adv Win XP Vista Windows 7 Registri Software Manuali Humor Hardware Recensioni Blog Download Foto
INDICE NEWS NEWS WEB NEWS SOFTWARE SEGNALA NEWS CERCA NEWS »

Firefox Patches



adv

[ Microsoft multata ] [ Estonia al voto Online ]
Pubblicato da Robbi il 26/02/2007 alle 00:00

Mozilla ha rilasciato nuove versioni di Firefox che correggono diverse falle di sicurezza, due piuttosto gravi, e migliorano le protezioni anti-XSS.
Si attendono update anche per Thunderbird e SeaMoney Mountain View (USA) - Verso la fine della scorsa settimana Mozilla Foundation ha pubblicato versioni aggiornate di Firefox che sistemano diverse vulnerabilità di sicurezza, alcune delle quali piuttosto severe. Un paio di questi problemi saranno presto sistemati anche in Thunderbird.


Tra le falle più gravi corrette da Firefox 2.0.0.2 e 1.5.0.10 vi è quella relativa all'attributo DOM location.hostname, scoperta un paio di settimane  fa dal noto bug hunter polacco Michal Zalewski. La debolezza può consentire ad un sito web maligno di manipolare il cookie di autenticazione di qualsiasi  altro dominio, rendendo possibile attacchi di cross-site scripting (XSS) anche molto insidiosi.

Il massimo livello di pericolosità è stato assegnato dal team di Mozilla ad una nuova falla, descritta qui, che può essere utilizzata da  un aggressore per mandare in crash l'applicazione o eseguire del codice da remoto a propria scelta. Dal momento che condivide lo stesso motore di Firefox, questo bug interessa potenzialmente anche Thunderbird, ma solo se il client è stato configurato per eseguire automaticamente i JavaScript  (funzione di cui Mozilla sconsiglia vivamente l'attivazione).

Le altre debolezze di Firefox, sintetizzate qui, sono state classificate di pericolosità moderata e bassa: ciò significa che possono essere sfruttate  solo in circostanze molto particolari o con metodi complessi e, nella maggioranza dei casi, esclusivamente per attacchi di denial of service.

Mozilla ha anche sottolineato come le nuove versioni di Firefox includano una serie di migliorie pensate per rafforzare le difese del browser contro  gli attacchi XSS e per migliorarne la compatibilità con Windows Vista.

La versione 1.5.0.10 di Thunderbird, la cui distribuzione ufficiale avverrà a breve, corregge invece due vulnerabilità, la più grave delle quali  consiste in un buffer overflow nel Network Security Services SSLv2 di Mozilla: lo stesso bug interessa anche Firefox, ma viene qui considerato di  minore importanza.

La quasi totalità di questi problemi verrà presto corretto anche in SeaMonkey, il celebre erede di Mozilla Suite.

Pochi giorni fa Zalewski ha scoperto una nuova debolezza di Firefox legata alla gestione dei JavaScript che, secondo
l'esperto, può essere utilizzata da remoto per eseguire del codice qualsiasi. Il bug si trova descritto in questo advisory
apparso su BugZilla, ed è già stato corretto in alcune build del browser.


  • Fonte



  • Segnala su: Ok Notizie Technorati Digg Delicious FriendFeed UpNews Segnalo Yahoo Google News Windows Live Twitter MySpace Facebook
    Commenta
     In evidenza Spia chiunque tramite cavo USB
    [ Microsoft multata ] [ Estonia al voto Online ]