| V I S U A L I Z Z A D I S C U S S I O N E |
| admin |
Inserito il - 10/07/2004 : 11:34:41
Falle per Internet Explorer, Mozilla, Firefox, Thunderbird, Opera, Safari
by Paolo Attivissimo
E' stata pubblicata da poco una curiosa falla di Internet Explorer che
lo fa andare in crash usando semplicemente una riga di codice. Imbarazzante.
Ho colto il suggerimento di un lettore, "nicgarga", e ho preparato una
paginetta di test:
http://www.attivissimo.net/security/bc/test11.htm
Dilettatevi a collaudare i vari browser: secondo le mie prove, sono
immuni Firefox 0.9.1 per Windows, Opera 7.52 per Windows e Mac, e
Mozilla 1.6 per Windows.
Safari 1.2.2 per Mac e Internet Explorer 5.2 per Mac resistono ma non si
comportano correttamente (non visualizzano la pagina di fine test).
Il test che ho preparato e' innocuo: il suo unico effetto e' mandare in
crash il browser. Questa falla non consente intrusioni.
Buon divertimento!
-----------------
Ci sono guai anche per i browser non-Microsoft; spero di preparare un
test del Browser Challenge anche per queste magagne, ma nel frattempo mi
premeva avvisarvi al più presto, in modo che possiate adottare i rimedi
del caso. Infatti, a differenza del problema descritto ieri a proposito
del browser Microsoft, le correzioni degli altri browser sono già pronte.
Le versioni Windows di Mozilla, Firefox e Thunderbird sono vulnerabili a
una falla che consente accesso ai file dell'utente:
http://www.mozilla.org/security/shell.html
La falla è stata segnalata il 7 luglio e la correzione è disponibile
dall'8 luglio sul sito www.mozilla.org all'indirizzo indicato sopra.
Trovate anche istruzioni in italiano presso
http://www.mozillaitalia.org/
Il rimedio più semplice è scaricare e installare le nuove versioni di
questi browser e client di posta. In alternativa, potete usare
ShellBlock, un miniprogramma che corregge il problema senza dover
installare le versioni aggiornate dei programmi vulnerabili:
http://update.mozilla.org/extensions/moreinfo.php?id=154
La falla non riguarda gli utenti Linux e Mac di questi browser, dato che
è legata a una particolare funzione di Windows.
Inoltre Secunia ha pubblicato un'altra falla che consente a un sito
ostile di far comparire il proprio contenuto all'interno di quello di un
sito regolare, consentendo per esempio furti di password o di numeri di
carte di credito, se si visitano contemporaneamente siti fidati che
richiedono questi dati e siti non fidati.
La descrizione della falla, che colpisce numerosi browser, compreso IE
per Mac, Konqueror, Mozilla, Firefox, Safari e Opera, è disponibile
insieme a un simpatico test presso:
http://secunia.com/multiple_browsers_frame_injection_vulnerability_test/
Per gli utenti Opera, Firefox e Mozilla, la falla è risolta scaricando
le versioni aggiornate, rispettivamente la 7.52, 0.9 e 1.7.
La falla risale, secondo Secunia, a sei anni fa.
Ciao da Paolo.
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
(C) 2004 by Paolo Attivissimo (www.attivissimo.net).
|
|
|
![[AmadeuX BiblioForum]](https://www.amadeux.it/forum/immagini/amadeuxcomm1.jpg "[AmadeuX BiblioForum]")
