Vulnerabilità critiche in Mozilla Firefox
Sono state riportate due vulnerabilità definite ad alto rischio, che consentono l'esecuzione di codice nel sistema senza bisogno di interazioni da parte dell'utente in Mozilla Firefox.
Il primo problema riguarda gli URL con JavaScript che contengono "IFRAME" i quali non vengono propiamente protetti prima di essere eseguiti nel contesto di altri URL nella history list. Questo può essere sfruttato per eseguire HTML e script arbitrari nelle sessioni browser degli utenti nel contesto di siti arbitrari.
Il secondo problema riguarda gli input passati al parametro "IconURL" in "InstallTrigger.install()" i quali non vengono propiamente verificati prima di essere usati.Questo consente di eseguire codice JavaScript nel sistema con privilegi elevati tramite url contenenti JavaScript appositamente modificati.
Le vulnerabilità sono state riportate in tutte le versioni , compresa l'ultima rilasciata di recente, la 1.0.3. Al momento non ci sono patch disponibili, per ridurre i rischi, dato che è stato reso pubblico un'expolit che sfrutta queste vulnerabilità, il consiglio è di disabilitare il supporto per i JavaScript.
news tratta da www.alground.com
- [23/03/10] Vulnerabilità Firefox, patch contro il blitz tedesco?
- [22/02/09] Falla nei PDF, disattivate Javascript nel vostro lettore
- [15/11/08] Mozilla Firefox 3.0.4 e 2.0.0.18 disponibili
- [09/01/07] Vulnerabilità XSS per Adobe Acrobat
- [26/02/06] Falle in Mozilla e Mozilla Firefox