Firefox: rispunta una falla di 7 anni fa.

Fabio Boneschi

“Secunia ha annunciato la scoperta di una falla di sicurezza nelle recenti release di prodotti Mozilla. Il medesimo problema fu scoperto e risolto 7 anni fa e potrebbe essere sfruttato da malintenzionati per organizzare frodi online.”

Secunia ha annunciato la scoperta di una falla di sicurezza nelle recenti release di prodotti Mozilla. Il medesimo problema fu scoperto e risolto 7 anni fa e potrebbe essere sfruttato da malintenzionati per organizzare frodi online.

Il bug oggetto del comunicato di Secunia può essere così descritto: Se un utente ha due finestre del browser aperto, una contenente il sito A (malevolo) ed una contenente il sito B, il codice malevolo presente nelle pagine di A può essere visualizzato sulle pagine di B

Gli strumenti utlizzati per "infettare" le pagine del sito B possono essere frame, testo o link esterni.

Il bug è stato rilevato in in Firefox 1.0.4, Mozilla 1.7.8 e Camino 0.8.4. e la criticità del pericolo è stata definita media.

Non è difficile immaginare scenari applicativi per questo bug, con un minimo di fantasia pensiamo infatti a cosa potrebbe capitare se ul sito malevolo venisse creato per "sporcare" le pagine di un sito di e-commerce: dati personali e sensibili potrebbero essere erroneamente inviati al sito sbagliato, con tutte le conseguenze immaginabili.

Doniaaaaaaaaaa reggimi..

MozillaFirefox - The future of the Mozilla browser.


This update upgrades Mozilla Firefox to version 1.0.4, fixing following security problems: MFSA 2005-42: A problem in the install confirmation dialog together with a bad fix for MFSA 2005-41 allowed a remote attacker to execute arbitrary code with the help of a cross site scripting problem on the Mozilla website. MFSA 2005-43: By causing a frame to navigate back to a previous javascrtpt: url an attacker can inject script into the forward site. This site can be controlled by the attacker allowing them to steal cookies or sensitive data from that page or to perform actions on behalf of that user. MFSA 2005-44: A variant of MFSA 2005-41 overrides properties on a non-DOM node and then substitutes that object for one chrome script will access. Most examples involved the attacker synthesizing an event targeted at a non-DOM node, and overriding standard DOM node properties such as type with references to eval() calls or Script() objects.