Visita Orebla.it su Facebook Segui Orebla.it su Twitter Vedi i video su YouTube di Orebla.it Unisciti alle cerchie di Orebla.it
DOVE TI TROVI: \\ Home Page\news\Richiesta patch sia per Firefox che per IE
Richiesta patch sia per Firefox che per IE


I tecnici della Microsoft e quelli della Mozilla Foundation sono al lavoro per sistemare alcune vulnerabilità da poco scoperte all'interno dei loro browser più famosi al mondo, Internet Explorer e Firefox.

Il bug per il browser della Microsoft è stato classificato ad alto rischio, il pericolo che un utente malintenzionato possa prendere il controllo della macchina vittima, da remoto, esiste.

Ancora una volta i famosi controlli ActiveX (Definizione Wikipedia) causano dei seri problemi per Internet Explorer. Questa volte la nota società di sicurezza informatica FrSirt ha rilevato la possibilità di modificare il box di dialogo durante la richiesta di installazione di comandi ActiveX.

Come già sapete alcuni controlli ActiveX se eseguiti senza nessun arbitrio possono provocare parecchi danni all'interno del PC della vittima. Perciò è stato necessario visualizzare prima della loro esecuzione una finestra di dialogo in cui l'utente decide se confermare o meno il controllo.

Manipolando questa finestra l'attacker può convincere l'ignaro utente a fidarsi di tale controllo ActiveX dando la conferma per l'esecuzione così prendendone il controllo.

La buona notizia di questo advisory da parte di FrSirt è che la falla affligge solamente le versioni di Windows XP non aggiornate con l'ultimo Service Pack (il SP 2, NDR) e quelle di Windows Server 2003 con SP1. Mentre tutte le altre versioni precedenti dei sistemi operativi made in Microsoft sono affetti.

Potete vedere i dettagli tecnici a questo indirizzo: LINK. Ricordiamo inoltre che è già disponibile in rete l'exploit per sfruttare tale falla.

Ovviamente Microsoft ha rassicurato gli utenti affermando che il bug non è poi così pericoloso e che la patch sarà rilasciata nei prossimi aggiornamenti mensili.

Passiamo ora a Mozilla Foundation, che in questi giorni sta risolvendo un problema che, secondo lo scopritore della falla, darebbe la possibilità di causare attacchi di tipo DoS (Denial of Service) e eseguire codice arbitrario da remoto.

Il problema è dovuto ad una mal gestione della funzione javascript (Definizione WIkipedia) iframe.contentWindow.focus(), che causerebbe nelle librerie dedicate (js320.dll e xpcom_core.dll) un buffer overflow.

Ovviamente l'utente per consentire l'esecuzione di tale vulnerabilità dovrebbe aprire una pagina creata appositamente.

La società di sicurezza Secunia esclude però la possibilità di eseguire codice da remoto e puntualizza che è possibile solamente attacchi di tipo DoS.

Anche in questo caso l'exploit è già stato reso pubblico con l'advisory, che potete trovare qui: LINK.

Mozilla Foundation al momento in cui scrivo non ha ancora risolto il problema, appena sarà possibile rilascierà la patch.

Le versioni affette sono la 1.5.0.2 sia su sistema operativo Windows che Linux.

 

Autore articolo: Orebla

Commenti:

Nessun Commento a questa News...

I commenti per queste news sono disabilitati.






Articoli utili:
Jailbreak iOS 10: tweaks compatibili

Recensione iPhone 6

IPhone 7 uscito, novita, prezzi