File a rischio con Netscape e Mozilla

Una società di sicurezza israeliana ha scoperto una grave falla di Netscape e Mozilla che permetterebbe ad un cracker di leggere file dal PC dell'utente


Israele – I due cuginetti Netscape e Mozilla soffrirebbero di una “voragine” nel proprio codice: una falla che, similmente a quella scoperta di recente in Internet Explorer – ma rispetto a questa ancora più grave – potrebbe consentire ad un aggressore di leggere qualunque file presente sul disco fisso di un utente.

Il buco, scoperto dalla società di sicurezza israeliana GreyMagic Software , riguarda tutte le versioni di Netscape a partire dalla 6.1 e tutte le versioni di Mozilla comprese fra la 0.9.7 e la 0.9.9. L'”origine del male” è l’oggetto XMLHttpRequest del componente XMLHTTP, che consente ad una pagina Web di inviare e ricevere dati in formato XML attraverso il protocollo HTTP.

Secondo quanto spiegato nel rapporto di sicurezza di GreyMagic, a causa di un non corretto controllo da parte di XMLHttpRequest sarebbe possibile confezionare una pagina Web in grado di redirigere una richiesta verso un file memorizzato sul disco dell’utente e di aggirare le impostazioni di sicurezza del browser. Rispetto al bug scoperto in Internet Explorer lo scorso gennaio, che consentiva di leggere solo i file di cui si conoscesse l’esatta locazione, la vulnerabilità che interessa Netscape e Mozilla appare ben più grave visto che consente ad un aggressore di elencare i file contenuti in una cartella del disco.

Sul sito di GreyMagic è possibile verificare, attraverso un piccolo test on-line , se il proprio browser è affetto dal problema.

La comunità di Mozilla ha promesso il rilascio di una patch a breve, con tutta probabilità entro la fine della settimana.

Nel suo bollettino GreyMagic ha poi voluto tirare le orecchie a Netscape per quanto riguarda il servizio di segnalazione bug, a suo dire inefficiente. L’azienda sostiene infatti di aver informato Netscape il 24 aprile attraverso un form sul Web che prometteva una risposta entro 5 giorni. Un arco di tempo in cui l’azienda israeliana sostiene di non aver ricevuto nessun riscontro: così, dopo 6 giorni, ha reso il bug di pubblico dominio.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    pysol solitari
    non si trova piu da scaricare perche? qualcuno ha un link?
    • Anonimo scrive:
      Re: pysol solitari
      - Scritto da: pysol
      non si trova piu da scaricare perche?
      qualcuno ha un link?http://www.oberhumer.com/opensource/pysol/non e' disponibile il setup per Windows da qualche tempo ,che pero' troverai sull ottimo http://www.solitairecentral.com/se ti piacciono i solitari.. e' un sito da non perdere ;)
  • Anonimo scrive:
    scaricare grandi file
    cosa e' meglio per scaricare grandi file a rate? cioe' un pezzo al giorno insomma grazie
    • Anonimo scrive:
      Re: scaricare grandi file
      - Scritto da: download
      cosa e' meglio per scaricare grandi file a
      rate? cioe' un pezzo al giorno insommaNetVampire.Oppure anche lo stesso programma che usi per navigare.Ovviamente se navighi con Opera ^___^
      • Anonimo scrive:
        Re: scaricare grandi file
        - Scritto da: SiN
        - Scritto da: download

        cosa e' meglio per scaricare grandi file a

        rate? cioe' un pezzo al giorno insomma
        NetVampire.veramente e' meglio download express che trovi in questa rubrica se non sbaglio in qualche numero passato ma ognuno poi ha i suoi gusti !!!!!
  • Anonimo scrive:
    scheda 3d
    una volta dicevate se serviva o meno, ormai e' sottinteso che tutti hanno una scheda capace di 3d ?
    • Anonimo scrive:
      Re: scheda 3d
      - Scritto da: 2d
      una volta dicevate se serviva o meno, ormai
      e' sottinteso che tutti hanno una scheda
      capace di 3d ?scusa ma davvero hai una scheda 2d senza nessuna funziona 3d?
    • Anonimo scrive:
      Re: scheda 3d
      - Scritto da: 2d
      una volta dicevate se serviva o meno, ormai
      e' sottinteso che tutti hanno una scheda
      capace di 3d ?Ciao!hai ragione, una volta lo specificavo più esplicitamente. Nel caso dei giochetti recensiti ora mi limito a parlare di "gioco 3D" che presuppone l utilizzo di una scheda compatibile con le librerie 3D e quindi di visualizzarli correttamente come ormai la quasi totalità delle schede grafiche in commercio.ciao!
  • Anonimo scrive:
    beh come era?
    la versione completa? ormai l hai scaricato anche se stai a 28.8 !!! ;) facci sognare
  • Anonimo scrive:
    Bubble extreme
    La v full è 130M.. lo sto scaricando, speriamo sia almeno carino, grazie della segnalazione;)
    • Anonimo scrive:
      full?
      - Scritto da: Wirelezz
      La v full è 130M.. lo sto scaricando,
      speriamo sia almeno carino, grazie della
      segnalazione;)full?
Chiudi i commenti