Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > WinTricks > News dal WEB > Archivio News Web

Notices

 
 
Strumenti discussione
Vecchio 12-07-2007, 10.25.54   #1
Robbi
Gold Member
Top Poster
 
Registrato: 04-01-2001
Messaggi: 5.227
Robbi promette bene
Falla in Firefox 2.0

<p align="center"><img height="274" hspace="0" src="http://www.beedigital.net/blog/img/firefox2.jpg" width="348" align="baseline" border="0"></p><p align="justify">Alcuni esperti di sicurezza hanno individuato una falla di sicurezza nel browser Firefox 2.0 collegata con la gestione degli URL.</p><p align="justify">Classificata da Secunia come &quot;altamente critica&quot;, la lacuna di programmazione riguarda il gestore URI (Uniform Resource Identifier) firefoxurl://. Tutte le applicazioni che sono in grado di trattare codice HTML possono richiamare l'URI in questione. Secondo il ricercatore di sicurezza Thor Larholm, in particolare, la vulnerabilità è sfruttabile da Internet Explorer. </p><p align="justify"><br>Utilizzando l'opzione -chrome, eventuali malintenzionati possono mettere in atto attacchi &quot;cross browser&quot;: tale opzione permette di accedere alle risorse di Firefox con i privilegi più elevati. Come confermato da Secunia, quindi, visitando un sito web maligno mediante Internet Explorer, avendo installato Firefox 2.0.0.4, si potrebbe vedere eseguito, sul proprio sistema, codice nocivo.</p><p align="justify"><br></p><br /><br /><a href="http://www.wintricks.it/framer.php?url=http://www.snpx.com/cgi-bin/news55.cgi?target=www.newsnow.co.uk/cgi/NGoto/216310126?-1313" target="_blank"> <li>Maggiori Info</li> </a><br /><br />
Robbi non è collegato  
Vecchio 12-07-2007, 10.35.11   #2
harman
Hero Member
 
L'avatar di harman
 
Registrato: 19-09-2004
Messaggi: 980
harman promette bene
Quota:
Tutte le applicazioni che sono in grado di trattare codice HTML possono richiamare l'URI in questione. Secondo il ricercatore di sicurezza Thor Larholm, in particolare, la vulnerabilità è sfruttabile da Internet Explorer.
Beh...se ho ben capito è sufficiente NON usare altre applicazioni che trattano codice HTML
Chi usa Firefox non ha bisogno o motivo di usare Internet Explorer

Comunque c'è un workaround
Quota:
la cancellazione dal registro di Windows della chiave HKEY_CLASSES_ROOT\FirefoxURL.
___________________________________

« Se sorgesse una società del demonio, che combattesse despoti e preti, mi arruolerei nelle sue file »
(G.Garibaldi)
harman non è collegato  
Vecchio 12-07-2007, 10.45.03   #3
Davide71
Forum supporter
 
L'avatar di Davide71
 
Registrato: 25-02-2001
Loc.: Capitale Mondiale del MARMO e delle "polveri sottili" :(
Messaggi: 1.813
Davide71 promette bene
Quota:
Inviato da harman
Chi usa Firefox non ha bisogno o motivo di usare Internet Explorer
Beh, il motivo c'e'. Esistono alcuni siti che non vanno proprio col Firefox 2.0.0.4, dove pure l'IETAB non funziona, in questi casi utilizzare IE 6.xx o 7.xx e' cosa consueta.


byezzz
___________________________________

Un saluto ed un grazie per l'attenzione.
Davide71 non è collegato  
Vecchio 12-07-2007, 11.33.34   #4
RNicoletto
Gold Member
Top Poster
 
L'avatar di RNicoletto
 
Registrato: 13-02-2001
Loc.: Forette City
Messaggi: 13.153
RNicoletto promette bene
harman e Davide71 hanno perfettamente evidenziato gli elementi di stranezza di questa falla.

In effetti, quando l'ho letta mi sono chiesto: ma questa è una falla in cosa??

In Firefox?? NO, perché se un utente usa solo questo per navigare il problema non si pone.

In Internet Explorer?? NO, perché non è IE ad eseguire le istruzioni javascript arbitrarie generate dalla falla.

In Microsoft Windows?? Effettivamente gli altri S.O. non sono affetti da questa vulnerabilità ma anche in questo caso non è Windows ad eseguire le istruzioni javascript arbitrarie.

Nell'advisory originale si parla di IE exploit.

Insomma una bel casino!
___________________________________

"Society doesn’t need newspapers. What we need is journalism." - Clay Shirky
RNicoletto non è collegato  
Vecchio 12-07-2007, 15.05.43   #5
gsmet
Gold Member
 
Registrato: 13-08-2003
Messaggi: 2.605
gsmet promette bene
Sono due falle.

Firefox e il suo chrome permettono di eseguire codice con privilegi più alti. E questa è la prima falla.

Windows e il sistema di gestione degli URI, non ha nessun controllo sui caratteri passabili come parametro. Di conseguenza chiudendo la sequenza di " si può specificare una serie di parametri a piacimento, compreso un intero script che poi Firefox esegue come fosse un applicazione chrome.

Diciamo che VIRTUALMENTE la colpa è di Firefox perchè il gestore URI firefoxurl non dovrebbe permettere scopi alternativi. In parole povere, dovrebbe essere a prova di exploit. Il che vuol dire: Windows ti offre un serivizio, sta a te implmentarlo correttamente conoscendone i limiti.

Oltretutto è facilmente risolvibile :P Basta creare un parametro firefoxurl al posto di url per firefox. Quando viene trovato quel parametro tutti gli altri parametri venono ignorati.

Una piccola svista... un problema critico.

Lo stesso errore sarebbe utilizzabile anche negli altri sistemi operativi, se esiste una cosa simile alla gestione degli URI e all'avvio automatico dell'applicativo collegato come in Windows.

Non so se esiste, ma il concetto è tremendamente semplice.

L'unica differenza è che generalmente un processo sotto Windows gira in modalità Administrator, se non sono stati rifatti gli utenti. Sotto gli altri OS gira in modalità utente quindi i danni sono limitati.

Anche in questo caso, basta un occhio alla sicurezza :P
___________________________________

-- Tommaso, Programmatore R&D

Ex-Microsoft Student Partner - Università degli Studi di Padova (non si può essere studenti tutta una vita)
Ex-prof (non si può essere precari tutta una vita)

"Non li fanno più i virus di una volta"
gsmet non è collegato  
 


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
F-Secure: Firefox Cookie Bug Giorgius Sicurezza&Privacy 5 16-02-2007 15.56.28
IMPORTANTE: Falla Zero-Day in Firefox. k501 Sicurezza&Privacy 3 09-10-2006 15.21.25
Scoperta falla Firefox Flying Luka Archivio News Web 6 11-04-2005 13.05.53
Firefox 1.0 ITA Macao Archivio News Software 117 22-11-2004 19.41.54
"Speciale Firefox 1.0" Gigi75 Segnalazioni Web 8 10-11-2004 13.36.17

Orario GMT +2. Ora sono le: 23.31.49.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.