Visita Orebla.it su Facebook Segui Orebla.it su Twitter Vedi i video su YouTube di Orebla.it Unisciti alle cerchie di Orebla.it
DOVE TI TROVI: \\ Home Page\news\Mozilla: Il bug Javascript?? Tutta una balla....
Mozilla: Il bug Javascript?? Tutta una balla....


Avete proprio letto bene il titolo di questa news, ieri vi avevamo segnalato di una vulnerabilità Javascript presente nel noto browser Firefox che doveva portare il primo software della Mozilla Foundation all'età della pietra da tanto che sembrava pericoloso, invece oggi scopriamo che è tutta una balla.

Proprio così, i ricercatori che hanno segnalato tutto questo ad alcuni tecnici della Mozilla Foundation durante il ToorCon 2006 non hanno fatto altro che inventare tutto.

O meglio, un bug esiste ma causa non più di un attacco DoS tramite un crash del browser... Cosa da poco in confronto a quanto riportato durante la conferenza.

Ecco come si sono svolti i fatti, sono tutti descritti in due post sul Blog di Mozilla Developer Center.

Vi ricordate Window Snyder, Mozilla security chief ?? Quello che durante il ToorCon 2006 aveva affermato che dal filmato visto la vulnerabilità poteva essere proprio grave.

Bene durante i test effettuati con i ricercatori della Mozilla Foundation non hanno cavato un ragno dal buco, si legge sul post:

"So far we’ve been able to reproduce a denial of service issue based on the information they gave during their talk. In some cases this causes a crash based on an out of memory error. Based on the information we have at this time we have not been able to confirm whether an attacker can achieve code execution. We’re still investigating and we’ll keep you updated."

Traducendo si intuisce come siano in alto mare, con le sole informazioni visive prese durante la dimostrazione alla conferenza sono riusciti solamente a riprodurre un Denial of Service, ben lontano dall'esecuzione di codice da remoto che avevano visto.

Snyder allora si è deciso a chiamare l'interlocutore, non chè il ricercatore, che alla conferenza aveva parlato e mostrato la vulnerabilità su Javascript VM di Firefox per chiedere informazioni riguardo il bug.

La risposta è stata questa:

"The main purpose of our talk was to be humorous.

As part of our talk we mentioned that there was a previously known Firefox vulnerability that could result in a stack overflow ending up in remote code execution. However, the code we presented did not in fact do this, and I personally have not gotten it to result in code execution, nor do I know of anyone who has.

I have not succeeded in making this code do anything more than cause a crash and eat up system resources, and I certainly haven’t used it to take over anyone else’s computer and execute arbitrary code.

I do not have 30 undisclosed Firefox vulnerabilities, nor did I ever make this claim. I have no undisclosed Firefox vulnerabilities. The person who was speaking with me made this claim, and I honestly have no idea if he has them or not.

I apologize to everyone involved, and I hope I have made everything as clear as possible.

Sincerely,

Mischa Spiegelmock"

TRADUZIONE:

La presentazione illustrata durante la conferenza voleva essere ironica, durante la conferenza abbiamo preso un bug già noto di Firefox in cui si poteva arrivare ad uno stack overflow ed a un'eventuale esecuzione di codice da remoto. Noi però non siamo stati capaci di arrivare ad un misero DoS con consumo di risorse di sistema, non siamo mai stati capaci di riprodurre un Code Execution.
Io non ho scoperto 30 vulnerabilità su Firefox e sinceramente la persona che ne ha parlato (il suo collega Wbeelsoi, NDR) non so neanche se li abbia scoperti veramente.
Mi scuso con tutti quelli coinvolti e spero di essere stato il più chiaro possibile.

Mischa Spiegelmock

Non c'è che dire è stata una vera e propria presa in giro.

Snyder ha però affermato che se anche le affermazioni di Spiegelmock spiegano che il bug è tutto una finta i tecnici Mozilla continueranno lo stesso ad indagare a fondo.

 

Autore articolo: Orebla

Commenti:

Nessun Commento a questa News...

I commenti per queste news sono disabilitati.






Articoli utili:
Jailbreak iOS 10: tweaks compatibili

Recensione iPhone 6

IPhone 7 uscito, novita, prezzi