Vulnerabilità multiple in Firefox
Urban
25 febbraio 2007 alle 17:31
Secunia ha rilasciato un advisory in cui vengono elencate nove vulnerabilità giudicate di livello altamente critico. Le vulnerabilità riguardano sia la versione 2 sia la 1.5 e sono già state corrette con le recenti versioni 2.0.0.2 e 1.5.0.10 (di cui vi abbiamo parlato due giorni fa).
I problemi che sono stati rilevati sono:
- errori nella gestione di localhost.localdomain nell'albero DOM che possono portare ad aggirare alcune restrizioni (vedi quest'altro advisory);
- un integer underflow nel codice Network Security Services (NSS) che può portare all'esecuzione di codice arbitrario;
- possibilità di portare attacchi di tipo cross site scripting in caso di siti con frame che contengono URI di tipo data:;
- possibilità di ottenere dati da file locali;
- possibilità di alterare parti dell'interfaccia del browser (come il nome dell'host o l'indicatore della sicurezza) attraverso cursori personalizzati e codice CSS3;
- possibilità di ottenere informazioni sensibili nel caso in cui due siti collidano nella cache;
- vari errori nel parser nel caso di caratteri non validi o codifica UTF-7;
- vulnerabilità nel password manager che potrebbe portare ad attacchi di tipo phishing (vedi quest'altro advisory);
- problemi di corruzione della memoria negli engine di layout, JavaScript e SVG.
Tutte le vulnerabilità sono state confermate dalla stessa Mozilla, che ha prontamente rilasciato le patch attraverso i minor upgrade delle due ultime release. Si consiglia vivamente a chi non lo avesse fatto, di procedere con l'upgrade.
Mi piace
XHTML Valido
CSS Valido
RSS Valido
