|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
12-07-2007, 10.25.54 | #1 |
Gold Member
Top Poster
Registrato: 04-01-2001
Messaggi: 5.227
|
Falla in Firefox 2.0
|
12-07-2007, 10.35.11 | #2 | ||
Hero Member
Registrato: 19-09-2004
Messaggi: 980
|
Quota:
Chi usa Firefox non ha bisogno o motivo di usare Internet Explorer Comunque c'è un workaround Quota:
___________________________________
« Se sorgesse una società del demonio, che combattesse despoti e preti, mi arruolerei nelle sue file » (G.Garibaldi) |
||
12-07-2007, 10.45.03 | #3 | |
Forum supporter
Registrato: 25-02-2001
Loc.: Capitale Mondiale del MARMO e delle "polveri sottili" :(
Messaggi: 1.813
|
Quota:
byezzz
___________________________________
Un saluto ed un grazie per l'attenzione. |
|
12-07-2007, 11.33.34 | #4 |
Gold Member
Top Poster
Registrato: 13-02-2001
Loc.: Forette City
Messaggi: 13.153
|
harman e Davide71 hanno perfettamente evidenziato gli elementi di stranezza di questa falla.
In effetti, quando l'ho letta mi sono chiesto: ma questa è una falla in cosa?? In Firefox?? NO, perché se un utente usa solo questo per navigare il problema non si pone. In Internet Explorer?? NO, perché non è IE ad eseguire le istruzioni javascript arbitrarie generate dalla falla. In Microsoft Windows?? Effettivamente gli altri S.O. non sono affetti da questa vulnerabilità ma anche in questo caso non è Windows ad eseguire le istruzioni javascript arbitrarie. Nell'advisory originale si parla di IE exploit. Insomma una bel casino!
___________________________________
"Society doesn’t need newspapers. What we need is journalism." - Clay Shirky |
12-07-2007, 15.05.43 | #5 |
Gold Member
Registrato: 13-08-2003
Messaggi: 2.605
|
Sono due falle.
Firefox e il suo chrome permettono di eseguire codice con privilegi più alti. E questa è la prima falla. Windows e il sistema di gestione degli URI, non ha nessun controllo sui caratteri passabili come parametro. Di conseguenza chiudendo la sequenza di " si può specificare una serie di parametri a piacimento, compreso un intero script che poi Firefox esegue come fosse un applicazione chrome. Diciamo che VIRTUALMENTE la colpa è di Firefox perchè il gestore URI firefoxurl non dovrebbe permettere scopi alternativi. In parole povere, dovrebbe essere a prova di exploit. Il che vuol dire: Windows ti offre un serivizio, sta a te implmentarlo correttamente conoscendone i limiti. Oltretutto è facilmente risolvibile :P Basta creare un parametro firefoxurl al posto di url per firefox. Quando viene trovato quel parametro tutti gli altri parametri venono ignorati. Una piccola svista... un problema critico. Lo stesso errore sarebbe utilizzabile anche negli altri sistemi operativi, se esiste una cosa simile alla gestione degli URI e all'avvio automatico dell'applicativo collegato come in Windows. Non so se esiste, ma il concetto è tremendamente semplice. L'unica differenza è che generalmente un processo sotto Windows gira in modalità Administrator, se non sono stati rifatti gli utenti. Sotto gli altri OS gira in modalità utente quindi i danni sono limitati. Anche in questo caso, basta un occhio alla sicurezza :P
___________________________________
-- Tommaso, Programmatore R&D Ex-Microsoft Student Partner - Università degli Studi di Padova (non si può essere studenti tutta una vita) Ex-prof (non si può essere precari tutta una vita) "Non li fanno più i virus di una volta" |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
F-Secure: Firefox Cookie Bug | Giorgius | Sicurezza&Privacy | 5 | 16-02-2007 15.56.28 |
IMPORTANTE: Falla Zero-Day in Firefox. | k501 | Sicurezza&Privacy | 3 | 09-10-2006 15.21.25 |
Scoperta falla Firefox | Flying Luka | Archivio News Web | 6 | 11-04-2005 13.05.53 |
Firefox 1.0 ITA | Macao | Archivio News Software | 117 | 22-11-2004 19.41.54 |
"Speciale Firefox 1.0" | Gigi75 | Segnalazioni Web | 8 | 10-11-2004 13.36.17 |