Firefox: Bug Critico e Update Anticipato





Gmail Labs: Traduzione Messaggio Flock 2.5: Facebook Chat /FlockCast SA971492: Falla in Microsoft IIS Firefox 3.5: Concept Nuova Icona Office 2010 Trapelato in Rete Google Chrome Beta 2.0.172.27 Windows 7: Supporto Nativo VHD Google: Novità in Gmail e Calendar Windows 7: "Box Shots" e Logo "7"	Firefox 2: Trucchi Schede/Tab II Firefox 2: Trucchi Schede/Tab Firefox 2: Aggiungere Lettore Feed [SP2] Connessioni Max TCP VII [IE7] Tutti i Tasti di Scelta Rapida [Vista] Disabilitare UAP [Vista] Aero UI Reg Tweaks Quake 4 - Cheats Trucchi Comandi [IE7] Beta 1 EN-US su XP ITA	Baku 3.7.3437 Google Chrome 2.0.172.28 Google Chrome 2.0.172.30 Beta VLC Media Player 1.0.0 RC2 Java JRE SE 6.0 Update 14 CCleaner v2.20.920 µtorrent 1.8.3 Beta 15562 FeedDemon 3.0.0.22 RC1 FlashGot 1.1.9


Letta 1923 volte		27 marzo 2009 alle 01.24 di netquik	Fonte: Varie
Firefox: Bug Critico e Update Anticipato

LINK:	Bug @ Bugzilla Codice PoC Commento di Giorgio Maone

Guido Landi, un hacker italiano, ha scoperto e divulgato i dettagli di un bug, precedentemente sconosciuto, capace di mandare in crash Firefox 3.0.7, ultima versione stabile del popolare browser, su tutte le piattaforme supportate (Windows, Linux e Mac); il ricercatore di sicurezza ha anche reso pubblico un codice "proof of concept" che include file XML e XSL caricati in un frame interno di una eventuale pagina web. Il codice di attacco, pubblicato su diversi siti di sicurezza due giorni fa, sfrutta una vulnerabilità di corruzione della memoria in modalità remota che affligge il parsing del tag XML "Root" di XSL (Extensible Stylesheet Language), e può essere utilizzato per installare software sul sistema della vittima senza il suo consenso. Il bug, già corretto dagli sviluppatori di Mozilla nel tronco principale di codice del browser, è ritenuto di pericolosità critica e per questo motivo Mozilla ha deciso di rilasciare un aggiornamento di protezione "high-priority fire drill" per Firefox in grado di correggere la problematica. Firefox 3.0.8, con incluso il fix, sarà disponibile la prossima settimana, alcuni giorni prima del previsto rilascio di Aprile, comunque non prima che siano state verificate qualità e efficacia dell'update. Firefox 3.1 "Beta 3" Disponibile - Mozilla Firefox 3.0.7 e Firefox 3.5 - Altre Giorgio Maone, sviluppatore software e autore del popolare add-on di protezione NoScript, commenta su Hackademix: "Attenti al PoC: manderà in crash Firefox su Windows, Linux e Mac OSX anche se avete NoScript (a meno che non abbiate selezionato NoScript Options\|Plugins\|Forbid IFrames come me). Tuttavia questo bug di crashing, come la maggior parte di loro, non è sfruttabile se avete disabilitato JavaScript e altri contenuti attivi sul sito di attacco, dato che un exploit affidabile necessita che lo script esegua uno 'spray dell'heap', per esempio inietti il payload nocivo nei posti giusti della vostra memoria per eseguirlo. Quindi potete facilmente sopravvivere fino al rilascio del prossimo aggiornamento automatico, se non vi dispiace l'eventualità di un bug fastidioso e non pericoloso (grazie ripristino sessione!)". Bisogna evidenziare che il bug non affligge le ultime nightly build di Firefox 3.5, prossima release del popolare browser open-source, causando semplicemente un errore di parsing XML. Firefox 3.1 "Beta 3" Disponibile - Firefox 3.1: Tardi con TraceMonkey - Altre

non ci sono commenti