• Firefox 3.6.4: corrette molte vulnerabilità ma rimane un URL spoofing

    firefox_bug.jpg

    Ancora una volta il lavoro di Michal Zalewski, noto ricercatore di sicurezza, ha dato i suoi frutti.

    Nella recente versione di Firefox 3.6.4, sono stati rilasciati anche alcuni importanti fix di sicurezza oltre a vari miglioramenti di stabilità.

    Sembra infatti che il browser di casa Mozilla soffra di problemi nella gestione dei link aperti nella finestra o nei tab del Web browser.

    Un ipotetico attaccante sarebbe in grado di effettuare injection di codice arbitrario nel tab o finestra attiva, continuando tuttavia a mantenere un URL “lecito” nella barra degli indirizzi.

    A dire il vero leggendo più attentamente le release notes, il post di Zalewsky e la discussione legata al problema su Bugzilla, si capisce come il problema in realtà verrà effettivamente corretto solo Firefox in Firefox 3.6.6.

    Nel recente rilascio della versione 3.6.4 è stato tuttavia corretto tra gli altri un bug segnalato sempre da Zalewsky e legato al metodo “focus()”, vedi l’advisory MFSA 2010-31.

    Il problema di code injection e URL spoofing scoperto da Zalewsky riguarda un’inadeguata gestione della “provenienza” della pagina speciale “about:blank”. Il tutto è documentato in dettaglio sul suo blog con tanto di codice JavaScript sorgente.

    Tags:

    Se vuoi aggiornamenti su Firefox 3.6.4: corrette molte vulnerabilità ma rimane un URL spoofing inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenta

    Your email address will not be published. Required fields are marked *