Firefox 2 bucabile via IE

Alcuni esperti di sicurezza hanno scoperto nel panda rosso una vulnerabilità che può essere innescata visitando una pagina web maligna con Internet Explorer

Roma – In Firefox 2 si cela una vulnerabilità che, diversamente da quanto accaduto in passato, può essere innescata con la compicità di Internet Explorer. Si tratta di “un errore di design”, come lo definisce FrSIRT , relativo alla gestione degli URI ( Uniform Resource Identifier ) di tipo FirefoxURL:// .

Gli URI FirefoxURL vengono registrati da Firefox al momento dell’installazione in Windows, e possono essere sfruttati da un sito web maligno per eseguire comandi o codice a libera scelta . Ciò è possibile perché Firefox non controlla la validità dei parametri che gli vengono passati attraverso l’URI FirefoxURL.

“Utilizzando l’URI incriminata è possibile utilizzare Internet Explorer (o qualsiasi altro browser Windows based) per lanciare Firefox ed eseguire immediatamente del codice JavaScript”, spiega questo advisory , dove vengono riportati anche diversi test di vulnerabilità. “È altresì possibile creare un profilo utente, caricare impostazioni di Firefox a propria scelta, e installare estensioni globali, il tutto senza il consenso dell’utente”.

FrSIRT afferma di non essere a conoscenza di alcuna patch ufficiale, e propone agli utenti un workaround che contempla la cancellazione dal registro di Windows della chiave HKEY_CLASSES_ROOTFirefoxURL .

Sia FrSIRT che Secunia hanno valutato la falla della massima gravità e, in attesa della patch, invitano gli utenti a visitare solo i siti fidati.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • sono io scrive:
    Denunciamolo
    Denunciamolo, e' illegale
  • Giannous scrive:
    Re: ma 'sti falliti...
    - Scritto da: Presidente
    ...non hanno nulla di meglio da fare? Stupidi
    vandali, andassero a lavorare. Più squallidi
    ancora se aspirano a trovare lavoro per mezzo di
    queste bravate. Ma oggi cosa non si fà per uscire
    dallo stato di morto di
    fame...Prova a dirlo a quelli di secunia.com :)Mettere la testa sotto la sabbia non implica che nessuno l'abbia fuori usandola magari a sproposito.Ciao.
  • Presidente scrive:
    ma 'sti falliti...
    ...non hanno nulla di meglio da fare? Stupidi vandali, andassero a lavorare. Più squallidi ancora se aspirano a trovare lavoro per mezzo di queste bravate. Ma oggi cosa non si fà per uscire dallo stato di morto di fame...
    • Pejone scrive:
      Re: ma 'sti falliti...
      Beh, neanche tanto vandali...Qualcuno tra i provider potrebbe anche prendere come stimolo queste "bravate" e magari fare qualcosa per aumentare la sicurezza...
  • Max scrive:
    link ?
    dare il nome dell'addon o il link per scaricalo sarebbe cosa utile e gradita ^_^
  • dargor17 scrive:
    Con firefox...
    esiste un add-on chiamato NoScript, che si occupa di bloccare gli script provenienti dai diversi siti anche all'interno di una stessa pagina, e ti avverte se è presente dell'XSS
    • como-dino scrive:
      Re: Con firefox...
      Peccato che un buon 80% dei siti non funziona più senza Javascript. Ci si trova quindi a vedere la webmail, ad esempio, senza potere cambiare pagina, rispondere o creare una mail... Non molto comodo...
      • Bauscia scrive:
        Re: Con firefox...
        Beh, se non funziona con no-script ... e' scritto male. Con gmail e servizi relativi, funziona discretamente bene senza scassare troppo i maruon.
    • nicola timoncini scrive:
      Re: Con firefox...
      - Scritto da: como-dino
      Peccato che un buon 80% dei siti non funziona più
      senza Javascript.Le ultime versioni di noscript hanno una protezione specifica per le falle xss, che disabilita solo il codice "estraneo" lasciando funzionare quello "legittimo".Vedi http://noscript.net/features#xss
  • kilobit scrive:
    sempre ultima
    la sicurezza non è mai contemplata dai budget
Chiudi i commenti