Sicurezza: Mozilla da aggiornare
Per gli utenti Mozilla, il popolare browser open source derivato da Netscape da cui sono derivati i progetti Firefox e Thunderbird, è necessario mettere mano alla propria connessione Internet e scaricare la versione 1.7.5, disponibile dalla fine di dicembre (qui per l'applicazione e qui per il langpack italiano).
Il problema risiede nell'errata gestione del protocollo Nntp (Net News Transfer Protocol, il componente alla base del browser per newsgroup incorporato in Mozilla Mail), che espone al rischio di sovrascrittura dei segmenti dinamici della memoria e alla conseguente esecuzione arbitraria di codice.
Nello specifico, Mozilla 1.7.5 corregge la funzione "MSG_UnEscapeSearchUrl()" nel sorgente "nsNNTPProtocol.cpp", che gestisce Uri Nntp. È infatti possibile che, raggiungendo un sito web malizioso, una Uri "news://" artatamente creata provochi l'heap overflow di cui sopra.
Autrice della scoperta è la polacca iSEC Security Research, che ha rilasciato un bollettino al riguardo, subito ripreso dalla danese Secunia, che definisce la vulnerabilità "alytamente critica".
Firefox 1.0, che è basato sul codice di Mozilla 1.7.5 e non prevede un newsreader, è immune al bug di Nntp....
...continua la news tratta da Mytech.it
- [15/11/08] Mozilla Firefox 3.0.4 e 2.0.0.18 disponibili
- [12/07/06] Patch di sicurezza per Windows e Office
- [26/02/06] Falle in Mozilla e Mozilla Firefox
- [07/08/05] Bug segnalati per Ubuntu, Gentoo e SuSE
- [24/02/05] Patch anti-crash per l'SP2