Firefox 2.0: nuovo browser...vecchia falla
News di Alessandro Recchia del 24/10/06
 Nella giornata del debutto dell'atteso Firefox 2.0, (sul sito ufficiale non è ancora disponibile ma sui server ftp di Mozilla è possibile scaricare la versione finale) mi sono ricordato di una vecchia falla del 15 agosto, segnalata su SecurityFocus in cui sfruttando il tallone di Achille di Firefox, ovvero il javascript, si poteva mandare in crash il browser.
Tale vulnerabilità consiste in una corruzione di memoria, che può essere prodotta anche in remoto, semplicemente attraverso una pagine web creata su misura.
Lo sfruttamento di tale vulnerabilità potrebbe consentire ad un malintenzionato di eseguire codice maligno in maniera arbitraria nel contesto dell'applicazione vulnerabile, ma questo non è ancora stato confermato.
Come dicevo, ricordavo questa vulnerabilità e mi sono chiesto se come altre volte in passato è successo, tale bug fosse stato corretto. Con mio stupore ho verificato che il Poc è ancora funzionate e che la vulnerabilità non è stata corretta.
Su SecurityFocus è disponibile un proof of concept, per verificare la vulnerabilità del proprio browser.
Affinchè il test venga eseguito in modo corretto è essenziale che nessuna estensione, firewall o altro software filtri o blocchi in qualche modo l'esecuzione di javascript.
Test: basta recarsi su questa pagina con un browser vulnerabile per causare il crash.
|
![[AD-PIANETAPC]](adv/PPC.gif)
Cerca nel sito
Navigation Box
Versione stampabile
Commenta sul forum
Torna alla home
Indietro