Fonte: http://punto-informatico.it/p.aspx?i=2041648
Mountain View (USA) - Ieri Mozilla Foundation ha rilasciato un update di sicurezza per Firefox, il 2.0.0.5, che sistema 8 vulnerabilità, tre delle quali classificate con il massimo livello di pericolosità.
Tra le falle "critiche" corrette da Firefox 2.0.0.5 c'è anche quella scoperta di recente e relativa alla gestione degli URI FirefoxURL://, che può essere sfruttata richiamando il browser open source da Internet Explorer.
La seconda debolezza in ordine di gravità può consentire ad un aggressore di richiamare un event handler che gli consenta di eseguire del codice a propria scelta con privilegi elevati. La terza falla critica riguarda la possibilità di eseguire Javascript maligni con gli stessi privilegi dell'utente locale.
Tra gli altri problemi risolti dall'aggiornamento vi sono bug di tipo cross-site scripting, frame spoofing e accesso non autorizzato ai documenti wyciwyg://. I dettagli delle vulnerabilità si trovano in questa pagina.
"Raccomandiamo caldamente a tutti gli utenti di Firefox di aggiornarsi all'ultima release", si legge in un comunicato di Mozilla.
Chi dispone di Firefox 2.0.0.x dovrebbe aver già ricevuto una notifica di aggiornamento: se così non fosse, è possibile avviare manualmente la ricerca degli aggiornamenti attraverso l'apposito comando (in Linux e Mac Os X si trova nel menu Guida, in Windows nel menu ?) oppure scaricare Firefox 2.0.0.5 da GetFirefox.com o MozillaItalia.it.
Come usuale, nei prossimi giorni sarà rilasciato un analogo aggiornamento per il client di posta elettronica Thunderbird.
[img]http://petrus.homeftp.org/bws/counter.p ... prise2.png]Partecipa anche tu al SETI @ HOME nel gruppo di StarTrekItalia
Update di sicurezza per Firefox
-
trekfan1
- Ammiraglio di Flotta
- Messaggi: 6435
- Iscritto il: 5 ott 2002, 17:04
- Località: Italy
- Contatta:
-
favarato
- Ammiraglio
- Messaggi: 10609
- Iscritto il: 7 ott 2002, 15:19
- Località: Padova
Avviata manualmente, perchè non ho visto notifiche...
[url=http://www.beppegrillo.it/vaffanculoday ... hp?id=vday" target="_blank" >[img]http://www.beppegrillo.it/vaffanculoday ... r_vday.gif" border="0" alt="Iscriviti al Vaffanculo Day"/>[/url]
[url=http://www.beppegrillo.it/vaffanculoday ... hp?id=vday" target="_blank" >[img]http://www.beppegrillo.it/vaffanculoday ... r_vday.gif" border="0" alt="Iscriviti al Vaffanculo Day"/>[/url]
-
trekfan1
- Ammiraglio di Flotta
- Messaggi: 6435
- Iscritto il: 5 ott 2002, 17:04
- Località: Italy
- Contatta:
Evitiamo allusioni e doppi sensi grazie!
[img]http://petrus.homeftp.org/bws/counter.p ... prise2.png]Partecipa anche tu al SETI @ HOME nel gruppo di StarTrekItalia
[img]http://petrus.homeftp.org/bws/counter.p ... prise2.png]Partecipa anche tu al SETI @ HOME nel gruppo di StarTrekItalia
-
trekfan1
- Ammiraglio di Flotta
- Messaggi: 6435
- Iscritto il: 5 ott 2002, 17:04
- Località: Italy
- Contatta:
Uscito un'altro update di sicurezza che sistema due falle critiche, l'attuale versione adesso è la 2.0.0.6
Queste le falle corrette:
Fixed in Firefox 2.0.0.6
MFSA 2007-27 Unescaped URIs passed to external programs
MFSA 2007-26 Privilege escalation through chrome-loaded about:blank windows
http://www.mozilla.org/projects/securit ... fox2.0.0.6
[img]http://petrus.homeftp.org/bws/counter.p ... prise2.png]Partecipa anche tu al SETI @ HOME nel gruppo di StarTrekItalia
Queste le falle corrette:
Fixed in Firefox 2.0.0.6
MFSA 2007-27 Unescaped URIs passed to external programs
MFSA 2007-26 Privilege escalation through chrome-loaded about:blank windows
http://www.mozilla.org/projects/securit ... fox2.0.0.6
[img]http://petrus.homeftp.org/bws/counter.p ... prise2.png]Partecipa anche tu al SETI @ HOME nel gruppo di StarTrekItalia
-
trekfan1
- Ammiraglio di Flotta
- Messaggi: 6435
- Iscritto il: 5 ott 2002, 17:04
- Località: Italy
- Contatta:
Fonte: http://punto-informatico.it/p.aspx?i=2050057
Mountain View (USA) - A sole due settimane di distanza dall'ultimo aggiornamento di sicurezza, ieri Mozilla Foundation ha rilasciato un update per Firefox, il 2.0.0.6, che risolve una nuova vulnerabilità legata alla gestione degli indirizzi di rete, detti URI (Uniform Resource Identifier).
Simile alla falla corretta nello scorso aggiornamento, anche quest'ultima può consentire ad un malintenzionato di utilizzare Internet Explorer 7 per passare a Firefox un indirizzo contenente argomenti pericolosi, capaci di lanciare un qualsiasi pogramma installato sotto Windows XP. Mozilla sostiene che gli utenti di Windows Vista o quelli che utilizzano Firefox con IE6 non corrono alcun pericolo.
I dettagli della vulnerabilità sono stati pubblicati in questo advisory.
Nelle ultime settimane si è molto dibattuto su chi, tra Firefox e IE7, abbia le maggiori responsabilità sulla falla legata alla gestione degli URI. A dimostrazione di come il compito dei moderni Salomone sia tutt'altro che facile, l'altro giorno BetaNews.com ha pubblicato un articolo in cui si sostiene che l'"origine del male" sia un'API di Windows, ed in particolare nella funzione ShellExecute() già presa di mira dai virus writer all'epoca di Windows 2000. Altri fanno comunque notare che se Firefox e IE7 verificassero e filtrassero gli URI con più zelo, tale tipo di vulnerabilità non esisterebbe.
L'update corregge anche un secondo bug, questa volta considerato di rischio moderato, che potrebbe consentire ad un sito maligno di eseguire script con privilegi più elevati del normale.
Chi non avesse ancora ricevuto la notifica automatica di aggiornamento, o avesse disattivato tale funzionalità, può scaricare manualmente Firefox 2.0.0.6 dai siti GetFirefox.com e MozillaItalia.it. A breve è atteso il rilascio di un'equivalente versione aggiornata di Thunderbird.
[img]http://petrus.homeftp.org/bws/counter.p ... prise2.png]Partecipa anche tu al SETI @ HOME nel gruppo di StarTrekItalia
Mountain View (USA) - A sole due settimane di distanza dall'ultimo aggiornamento di sicurezza, ieri Mozilla Foundation ha rilasciato un update per Firefox, il 2.0.0.6, che risolve una nuova vulnerabilità legata alla gestione degli indirizzi di rete, detti URI (Uniform Resource Identifier).
Simile alla falla corretta nello scorso aggiornamento, anche quest'ultima può consentire ad un malintenzionato di utilizzare Internet Explorer 7 per passare a Firefox un indirizzo contenente argomenti pericolosi, capaci di lanciare un qualsiasi pogramma installato sotto Windows XP. Mozilla sostiene che gli utenti di Windows Vista o quelli che utilizzano Firefox con IE6 non corrono alcun pericolo.
I dettagli della vulnerabilità sono stati pubblicati in questo advisory.
Nelle ultime settimane si è molto dibattuto su chi, tra Firefox e IE7, abbia le maggiori responsabilità sulla falla legata alla gestione degli URI. A dimostrazione di come il compito dei moderni Salomone sia tutt'altro che facile, l'altro giorno BetaNews.com ha pubblicato un articolo in cui si sostiene che l'"origine del male" sia un'API di Windows, ed in particolare nella funzione ShellExecute() già presa di mira dai virus writer all'epoca di Windows 2000. Altri fanno comunque notare che se Firefox e IE7 verificassero e filtrassero gli URI con più zelo, tale tipo di vulnerabilità non esisterebbe.
L'update corregge anche un secondo bug, questa volta considerato di rischio moderato, che potrebbe consentire ad un sito maligno di eseguire script con privilegi più elevati del normale.
Chi non avesse ancora ricevuto la notifica automatica di aggiornamento, o avesse disattivato tale funzionalità, può scaricare manualmente Firefox 2.0.0.6 dai siti GetFirefox.com e MozillaItalia.it. A breve è atteso il rilascio di un'equivalente versione aggiornata di Thunderbird.
[img]http://petrus.homeftp.org/bws/counter.p ... prise2.png]Partecipa anche tu al SETI @ HOME nel gruppo di StarTrekItalia
Chi c’è in linea
Visitano il forum: Nessuno e 27 ospiti