| Letta 3488 volte |
27 marzo 2009 alle 01.24 di netquik |
Fonte: Varie |
| Firefox: Bug Critico e Update Anticipato |
| LINK: |
 |
 Guido Landi, un hacker italiano, ha scoperto e divulgato i dettagli di un bug, precedentemente sconosciuto, capace di mandare in crash Firefox 3.0.7, ultima versione stabile del popolare browser, su tutte le piattaforme supportate (Windows, Linux e Mac); il ricercatore di sicurezza ha anche reso pubblico un codice "proof of concept" che include file XML e XSL caricati in un frame interno di una eventuale pagina web. Il codice di attacco, pubblicato su diversi siti di sicurezza due giorni fa, sfrutta una vulnerabilità di corruzione della memoria in modalità remota che affligge il parsing del tag XML "Root" di XSL (Extensible Stylesheet Language), e può essere utilizzato per installare software sul sistema della vittima senza il suo consenso.
Il bug, già corretto dagli sviluppatori di Mozilla nel tronco principale di codice del browser, è ritenuto di pericolosità critica e per questo motivo Mozilla ha deciso di rilasciare un aggiornamento di protezione "high-priority fire drill" per Firefox in grado di correggere la problematica. Firefox 3.0.8, con incluso il fix, sarà disponibile la prossima settimana, alcuni giorni prima del previsto rilascio di Aprile, comunque non prima che siano state verificate qualità e efficacia dell'update.
 Firefox 3.1 "Beta 3" Disponibile - Mozilla Firefox 3.0.7 e Firefox 3.5 - Altre
Giorgio Maone, sviluppatore software e autore del popolare add-on di protezione NoScript, commenta su Hackademix: "Attenti al PoC: manderà in crash Firefox su Windows, Linux e Mac OSX anche se avete NoScript (a meno che non abbiate selezionato NoScript Options|Plugins|Forbid IFrames come me). Tuttavia questo bug di crashing, come la maggior parte di loro, non è sfruttabile se avete disabilitato JavaScript e altri contenuti attivi sul sito di attacco, dato che un exploit affidabile necessita che lo script esegua uno 'spray dell'heap', per esempio inietti il payload nocivo nei posti giusti della vostra memoria per eseguirlo. Quindi potete facilmente sopravvivere fino al rilascio del prossimo aggiornamento automatico, se non vi dispiace l'eventualità di un bug fastidioso e non pericoloso (grazie ripristino sessione!)".
Bisogna evidenziare che il bug non affligge le ultime nightly build di Firefox 3.5, prossima release del popolare browser open-source, causando semplicemente un errore di parsing XML.
Firefox 3.1 "Beta 3" Disponibile - Firefox 3.1: Tardi con TraceMonkey - Altre |
|
 non ci sono commenti alla news nel forum |
|
|
|
DUST FROM THE PAST
InternetNews.com afferma che un upgrade per Microsoft Internet Explorer potrebbe essere imminente.
Apparentemente in risposta alla migrazione di massa verso altri browser sospinta dai recenti buchi… 9 agosto 2004
Se siete tra quei 200 milioni di persone che utilizzano un sistema operativo precedente a XP e volete poter installare gli ultimi aggiornamenti di sicurezza per Internet Explorer, dovrete passare a Wi…23 settembre 2004
Secunia Research ha scoperto due vulnerabilità originariamente in Maxthon (MyIE2) 1.x, che potevano venir utilizzate da siti web per ottenere informazioni riservate o comunque compromettere una navig…20 ottobre 2004
ULTIME NEWS - FIREFOX
Mozilla ha in programma un'ultima importante novità per Firefox 3.5 (conosciuto in codice come Shiretoko), la prossima major version del suo popolare browser open-source: una rinnovata e ottimizzata …18 maggio 2009
Mozilla ha rilasciato Firefox 3.0.10, ottavo aggiornamento di stabilità e sicurezza per la nuova versione del suo popolare browser open-source. La nuova versione introduce correzioni per una vulner…28 aprile 2009
Come previsto, e ancor prima di quanto anticipato, Mozilla ha rilasciato Firefox 3.0.9, settimo aggiornamento di stabilità e sicurezza per la nuova versione del suo popolare browser open-source. La n…22 aprile 2009
|
|
 |
