Firefox, l'exploit e la patch

Il bug veniva sfruttato attraverso l'advertising ospitato su un sito russo per rastrellare informazioni sulla configurazione dei sistemi degli utenti. E' stato turato con un aggiornamento tempestivo

Roma – L’exploit è stato segnalato ieri, attivo su un sito generalista di notizie russo, veicolato dall’advertising e volto a colpire gli utenti di Firefox per ottenere informazioni sulla configurazione dei loro sistemi: Mozilla ha già messo a disposizione una patch volta a risolvere il problema.

La falla è descritta da Mozilla come critica e colpisce tutti gli utenti del browser che abbiano il visualizzatore di PDF integrato, escludendo quindi dal novero dei browser a rischio la versione di Firefox per dispositivi Android. Il problema rilevato nel codice permette di eludere la same origin policy , vale a dire il meccanismo che impedisce il caricamento di documenti e script da fonti diverse da quella legittima, e di iniettare uno script nel codice del lettore PDF integrato.

L’exploit segnalato appare diretto a raccogliere e a trasmettere a server remoti informazioni relative alla configurazione del sistema, dei client FTP e agli account per OS Windows e Linux, il tutto senza lasciare traccia. Ciò non significa però che gli utenti Mac siano immuni alla vulnerabilità, osserva Mozilla: semplicemente, il particolare exploit individuato non sembra prenderli in considerazione.

Mozilla ha già provveduto a rilasciare un aggiornamento capace di sistemare il bug: Firefox 39.0.3 risolve il problema per gli utenti ordinari, mentre Firefox 38.1.1 è destinato agli utenti enterprise.

Gaia Bottà

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • bubba scrive:
    OT: la guerra dei droni cominciata e'
    http://yro.slashdot.org/story/15/08/10/2040211/new-video-shows-shot-down-drone-hovered-for-only-22-seconds:D ... non era a Geonosis, ma come inizio puo' andar bene...
  • Fai il login o Registrati scrive:
    ROTFL
    Comunque temo che tu non abbia poi tutti i torti, usano l'informatica come una lavatrice. ma non è così...
  • ... scrive:
    l'hack di massa è l'unica soluzione
    Questi non capiranno mai.Se gli mostrano come si buca un modello, minimizzano, fanno l'aggiornamento dell'auto (ROTFL, scendere e risalire, prego) e pensano che sia tutto ok.Se verrà colpito qualcuno 'ah, c'è l'hacker cattivo, ma mica succede a tutti'Quindi se si vuole convincere il mondo che il loro sistema è intrinsecamente sbagliato bisogna:1) evitare di comunicare gli 0day2) automatizzarli3) fare in modo che nello stesso istante, tipo 10 milioni di veicoli facciano qualcosa di percepibile dall'utente come un pericolo ma non realmente pericoloso per lo stesso. per esempio portare il conducente, ora mero passeggero, presso il vulcano più vicino e fargli vedere com'è divertente girare con la macchina piegata su due ruote attorno alla bocca del cratere.4) al termine formattare a basso livello il firmware dell'auto (così per l'aggiornamento gli tocca andare dal produttore - a piedi)5) mandare messaggio ai media: "i produttori vi diranno che ora risolvono il problema con un aggiornamento, ma noi abbiamo già 10 altri modi per fare la stessa cosa e loro non sanno quali, lo rifaremo più volte.
    • Niu Boh scrive:
      Re: l'hack di massa è l'unica soluzione
      E anche così non saranno convinti (vedasi windoze) continueranno a comprare e ruzzolare nel cratere.Più che lasciare in panne la yorktown (CG-48) davanti a Cape Charles cosa dovevano fare?
      • xcaso scrive:
        Re: l'hack di massa è l'unica soluzione
        Sollecitare meno il marasma dei tutti comodi perché è una falsificazione pura.
    • Etype scrive:
      Re: l'hack di massa è l'unica soluzione
      - Scritto da: ...
      Questi non capiranno mai.
      Se gli mostrano come si buca un modello,
      minimizzano, fanno l'aggiornamento dell'auto
      (ROTFL, scendere e risalire, prego) e pensano che
      sia tutto
      ok.Loro vogliono solo un modello che faccia presa sul pubblico con le nuove feature,il loro obiettivo è vendere,il resto non gliene importa.
      Se verrà colpito qualcuno 'ah, c'è l'hacker
      cattivo, ma mica succede a
      tutti'Certi episodi saranno sempre più frequenti,è la scelta che c'è a monte che è sbagliata.Almeno in questo caso devi avere l'acXXXXX finico all'auto,però in questo caso chi ti vieta di rompere il finestrino,inserire il cavo e rubarla ?
      3) fare in modo che nello stesso istante, tipo 10
      milioni di veicoli facciano qualcosa di
      percepibile dall'utente come un pericolo ma non
      realmente pericoloso per lo stesso. per esempio
      portare il conducente, ora mero passeggero,
      presso il vulcano più vicino e fargli vedere
      com'è divertente girare con la macchina piegata
      su due ruote attorno alla bocca del
      cratere.Questa cosa non la potrai mai fare,se ti prendono vieni imprigionato per terrorismo,tanto ormai lo citano ogni 3X2
      4) al termine formattare a basso livello il
      firmware dell'auto (così per l'aggiornamento gli
      tocca andare dal produttore - a
      piedi)Questa sarebbe un'opzione,ma tanto non cambia nulla,la gente ormai è totalmente succube del consumismo,sarebbe solo un fastidio e poi rinizia da capo.
      5) mandare messaggio ai media: "i produttori vi
      diranno che ora risolvono il problema con un
      aggiornamento, ma noi abbiamo già 10 altri modi
      per fare la stessa cosa e loro non sanno quali,
      lo rifaremo più
      volte.come sopra.
Chiudi i commenti