Vulnerabilità multiple in Firefox
Urban
25 Febbraio 2007 alle 17:31
Le notizie presenti in questo articolo potrebbero non essere attuali visto che sono state scritte da oltre tre mesi.
Secunia ha rilasciato un advisory in cui vengono elencate nove vulnerabilità giudicate di livello altamente critico. Le vulnerabilità riguardano sia la versione 2 sia la 1.5 e sono già state corrette con le recenti versioni 2.0.0.2 e 1.5.0.10 (di cui vi abbiamo parlato due giorni fa).
I problemi che sono stati rilevati sono:
- errori nella gestione di localhost.localdomain nell'albero DOM che possono portare ad aggirare alcune restrizioni (vedi quest'altro advisory);
- un integer underflow nel codice Network Security Services (NSS) che può portare all'esecuzione di codice arbitrario;
- possibilità di portare attacchi di tipo cross site scripting in caso di siti con frame che contengono URI di tipo data:;
- possibilità di ottenere dati da file locali;
- possibilità di alterare parti dell'interfaccia del browser (come il nome dell'host o l'indicatore della sicurezza) attraverso cursori personalizzati e codice CSS3;
- possibilità di ottenere informazioni sensibili nel caso in cui due siti collidano nella cache;
- vari errori nel parser nel caso di caratteri non validi o codifica UTF-7;
- vulnerabilità nel password manager che potrebbe portare ad attacchi di tipo phishing (vedi quest'altro advisory);
- problemi di corruzione della memoria negli engine di layout, JavaScript e SVG.
Tutte le vulnerabilità sono state confermate dalla stessa Mozilla, che ha prontamente rilasciato le patch attraverso i minor upgrade delle due ultime release. Si consiglia vivamente a chi non lo avesse fatto, di procedere con l'upgrade.
Aggiungi sui social-network con Post<li>
XHTML Valido
CSS Valido
RSS Valido
