Falla senza patch in Firefox

[ 03-02-2006 ]
Firefox e Mozilla Suite contengono una falla di moderata gravità che potrebbe mettere a rischio la privacy degli utenti

versione per la stampa

Fonte originale della notizia » punto-informatico.it Punto Informatico, giornale fondato da Andrea De Andreis, è il primo quotidiano italiano online che si occupa di Internet, informatica e comunicazione. Primo perché ha iniziato le attività nel 1995 e primo perché sulla rete quando è arrivato Punto Informatico non esistevano altri servizi informativi specializzati quotidiani. Oggi è primo, più semplicemente, perché è il più seguito, da casa e dall'ufficio. Prima di arrivare su Internet, Punto Informatico per vari mesi è stato distribuito nel circuito delle BBS. Dal 7 febbraio 1996, data ufficiale di "sbarco" su Web, Punto Informatico ha cercato di raccontare giorno per giorno l'evoluzione e il progresso tecnologico, in particolar modo quello relativo allo sviluppo della rete. Così facendo ha sviluppato una identità e una personalità che rimangono uniche nel panorama editoriale italiano. La Redazione Punto Informatico è testata giornalistica registrata al Tribunale di Roma al n. 51 del 7.2.1996 - De Andreis Editore S.r.l. Direttore responsabile: Paolo De Andreis Main board editoriale: Alessandro Del Rosso, Franco Lavarone, Lamberto Assenti, Luca Schiavoni Collaborano: Alberigo Massucci, Alessandro Biancardi, Alessandro Longo, Dario Bonacina, Dario d'Elia, Giulio Fornasar, Tommaso Lombardi, Massimo Mantellini. Vignette: Luca Schiavoni fonte: punto-informatico.it Il giornale vive del rapporto con la rete e con i suoi lettori. Oltre alle news quotidiane che raccolgono quanto di più interessante accade in Italia e all'estero nel mondo dell'Information and Communications Technology, Punto Informatico lavora infatti su una continua scansione delle attività sulla rete e degli eventi che la riguardano. Scansione spesso agevolata e suggerita proprio dai lettori. Dalle richieste dei lettori è scaturita la Community di Punto Informatico, una serie di servizi del tutto gratuiti che vengono offerti agli utenti, servizi che consentono di accedere in modo personalizzato ai Forum delle notizie e a quelli tematici, di scambiare messaggi privati con gli altri lettori e molto altro ancora... >> continua la lettura su: punto-informatico.it

.

Update ore 9.00 (in calce) - Roma - Non è tra le vulnerabilità corrette dal recentissimo Firefox 1.5.0.1 quella divulgata ieri dall'esperto Chris Thomas. La debolezza, che interessa anche Mozilla Suite, può consentire ad un malintenzionato di aggirare le restrizioni di sicurezza del programma e accedere a informazioni sensibili.

La falla è di tipo cross domain scripting ed è causata dall'incorretta verifica, da parte dei software di Mozilla Foundation, di fogli di stile (CSS) e documenti HTML contenenti l'attributo malformato "-moz-binding" in congiunzione con l'eXtensible Binding Language (XBL).

Forum di Punto Informatico Opinioni e commenti su questo articolo

Un aggressore potrebbe sfruttare la vulnerabilità inserendo all'interno di una pagina web uno speciale script che, una volta caricato dal browser, esegue del codice nel contesto di sicurezza di un altro dominio: ciò potrebbe dare ad un estraneo il completo accesso ai cookie dell'utente. [link]FrSIRT[/link] ha valutato il problema di rischio moderato perché, a quanto pare, la falla non permette altre forme di attacco.

I programmi vulnerabili sono Firefox 1.5.x e versioni precedenti e Mozilla Suite 1.7.x e precedenti. Al momento non è dato sapere se il problema interessi anche SeaMonkey.

Update: La vulnerabilità segnalata da FrSIRT non è tra quelle elencate qui da Secunia, e che Mozilla Foundation ha corretto con la recente minor release di Firefox. Ci scusiamo con tutti i lettori per aver citato Secunia: siamo stati ingannati da un advisory pubblicato da questa società e riguardante non Firefox, ma Mozilla Suite.

>> fonte originale: punto-informatico.it un articolo distribuito con licenza Creative Commons Attribuzione - Non commerciale - Non opere derivate 2.0 e riproducibile a patto di citare la fonte e di ridistribuire il lavoro prodotto con la medesima licenza.