Letta 1739 volte 3 giugno 2006 alle 07.20 di netquik Fonte: secunia.com
Firefox 1.5.0.4: 12 Fix di Sicurezza
LINK:
Firefox 1.5.0.4: 12 Fix di Sicurezza
Mozilla ha rilasciato ieri le versione 1.5.0.4 dei suoi due prodotti open-source, il browser Firefox e il client di posta elettronica Thunderbird. Le due nuove release integrano miglioramenti in stabilità del codice e soprattutto la correzione per numerose vulnerabilità di sicurezza. Al momento della release non erano ancora disponibili i dettagli sulle vulnerabilità di sicurezza corrette nei due software, da qualche ora Mozilla ha invece aggiornato la lista dei suoi advisory fornendo la descrizione di tutti gli aggiornamenti di protezione inclusi nelle versioni 1.5.0.4. Mozilla ha anche rilasciato la versione 1.0.2 di SeaMonkey, il progetto separato che ha rimpiazzato il prodotto Mozilla Suite. Anche Secunia, nota azienda di securiry monitoring, ha rilasciato due advisory dedicati alle vulnerabilità scoperte (e ora corrette) in Firefox e Thunderbird. Secunia ha calcolato per entrambi i casi un livello di rischio aggregato "altamente critico".

links e news Mozilla Firefox/Thunderbird 1.5.0.4 

Firefox 1.5.0.4 include le patch per 12 vulnerabilità di sicurezza (di cui 5 critiche) che potevano consentire attacchi di security bypass, cross-site scripting, accesso sistema e HTTP response-smuggling. Secondo Mozilla le falle più gravi sono dipese da errori nel motore del browser che possono essere soggetti a exploit causando corruzione della memoria e conseguente esecuzione di codice arbitrario nocivo. Firefox soffriva anche di due bug nella gestione di particolari risposte HTTP che potevano essere sfruttati per far processare al browser una risposta singola come due separate da siti differenti. L'exploit, pur con alcune limitazioni, avrebbe consentito esecuzione di codice nocivo HTML e script nella sessione browser dell'utente attaccato. Altri due bug, altrettanto pericolosi, interessavano invece le funzionalità "visualizza immagine" e "visualizza solo questo riquadro". Un ultimo bug nella funzione "crypto.signText()" poteva essere invece sfruttato per causare un buffer overflow passando come argomenti opzionali nomi di Certificate Authority.

Thunderbird 1.5.0.4 include le patch per 8 di problemi di sicurezza, 7 dei quali (* TB) sono relativi ai medesimi bug del codice isolati in Firefox. Un aggiornamento di protezione riservato a Thunderbird si è reso necessario a causa di un problema di sicurezza causato da un double-free error nel processing di VCard di grandi dimensioni con caratteri base64 non validi. Per eseguire l'exploit di alcune vulnerabilità del client di posta elettronica è comunque necessario che Javascript sia attivo (di default è disabilitato).

Fix in Firefox 1.5.0.4 - Download - Note di rilascio - Mozilla Advisory - Secunia Advisory
MFSA 2006-43 Privilege escalation using addSelectionListener
MFSA 2006-42 Web site XSS using BOM on UTF-8 pages (* TB)
MFSA 2006-41 File stealing by changing input type (variant)
MFSA 2006-39 "View Image" local resource linking (Windows)
MFSA 2006-38 Buffer overflow in crypto.signText() (* TB)
MFSA 2006-37 Remote compromise via content-defined setter on object prototypes (* TB)
MFSA 2006-36 PLUGINSPAGE privileged JavaScript execution 2
MFSA 2006-35 Privilege escalation through XUL persist (* TB)
MFSA 2006-34 XSS viewing javascript: frames or images from context menu
MFSA 2006-33 HTTP response smuggling (* TB)
MFSA 2006-32 Fixes for crashes with potential memory corruption (* TB)
MFSA 2006-31 EvalInSandbox escape (Proxy Autoconfig, Greasemonkey) (* TB)

Fix in Thunderbird 1.5.0.4 - Download - Note di rilascio - Mozilla Advisory - Secunia Advisory
MFSA 2006-40 Double-free on malformed VCard

Mozilla Corporation raccomanda a tutti gli utenti di aggiornare all'ultima versione dei due prodotti, in particolare incoraggia gli utenti delle versioni 1.0 (non più supportate) ad eseguire l'upgrade alle release 1.5 in modo da trarre vantaggio dei significanti miglioramenti apportati al codice.
 non ci sono commenti alla news nel forum
username:   password:
oppure con Log in with FacebookLog In with Google
   ricordami
non fai parte della community?
 Esegui l'accesso per commentare questa notizia nel forum 
 
 ONLINE
OSPITI 4
UTENTI 0
VISITE OGGI
23
 VISITE TOTALI
5.763.008
login
username:
password:
oppure con Log in with FacebookLog In with Google
ricordami
Non fai parte della community?
Creative Commons License Valid CSS!Valid HTML 4.01 Transitional
 
NEWS - TRUCCHI - DOWNLOAD - ARTICOLI - SITO - DISCLAIMER
X