Firefox inciampa negli URL poliglotti

Firefox, Mozilla e Netscape soffrono di una vulnerabilità che potrebbe mettere a serio repentaglio la sicurezza dei rispettivi utenti. Mozilla Foundation ha tempestivamente rilasciato una patch che aggira temporaneamente il problema
Firefox, Mozilla e Netscape soffrono di una vulnerabilità che potrebbe mettere a serio repentaglio la sicurezza dei rispettivi utenti. Mozilla Foundation ha tempestivamente rilasciato una patch che aggira temporaneamente il problema


Roma – La scorsa settimana il ricercatore di sicurezza Tom Ferris ha segnalato a Mozilla Foundation la presenza, in Firefox, di una pericolosa vulnerabilità nel modo in cui il celebre browser gestisce gli URL in formato Internationalized Domain Name ( IDN ). A meno di 24 ore di distanza dalla pubblica divulgazione del bug, gli sviluppatori di Firefox hanno pubblicato un primo workaround.

La falla, considerata da Secunia e FrSIRT di elevata gravità, è dovuta ad un errore di buffer overflow generato da URL IDN malformati: tali URL contengono una lunga serie di caratteri “0xAD” nel nome di dominio. Ferris, che ha segnalato il problema a Mozilla Foundation il 6 settembre, ha spiegato che la falla potrebbe essere sfruttata da remoto per mandare in crash il browser ed eventualmente eseguire del codice.

La vulnerabilità è stata confermata in Firefox 1.06 e 1.5 beta 1, ma interessa altresì i parenti Mozilla e Netscape 7.x/8.x.

In attesa del rilascio di una nuova versione dei propri browser, Mozilla.org ha rilasciato una patch temporanea che disabilita il supporto ai domini IDN. Ciò che fa la patch lo si può ottenere anche a mano digitando nella barra degli indirizzi about:config e assegnando il valore “false” alla voce network.enableIDN . Maggiori dettagli su questo workaround, che funziona anche con Mozilla e Netscape, si trovano nella pagina della patch.

Un analogo problema legato alla gestione degli URL IDN, che interessava quasi tutti i browser in circolazione, era già venuto alla luce all’inizio dell’anno .

Link copiato negli appunti

Ti potrebbe interessare

11 09 2005
Link copiato negli appunti