Firefox inciampa negli URL poliglotti

Firefox, Mozilla e Netscape soffrono di una vulnerabilità che potrebbe mettere a serio repentaglio la sicurezza dei rispettivi utenti. Mozilla Foundation ha tempestivamente rilasciato una patch che aggira temporaneamente il problema

Roma - La scorsa settimana il ricercatore di sicurezza Tom Ferris ha segnalato a Mozilla Foundation la presenza, in Firefox, di una pericolosa vulnerabilità nel modo in cui il celebre browser gestisce gli URL in formato Internationalized Domain Name (IDN). A meno di 24 ore di distanza dalla pubblica divulgazione del bug, gli sviluppatori di Firefox hanno pubblicato un primo workaround.

La falla, considerata da Secunia e FrSIRT di elevata gravità, è dovuta ad un errore di buffer overflow generato da URL IDN malformati: tali URL contengono una lunga serie di caratteri "0xAD" nel nome di dominio. Ferris, che ha segnalato il problema a Mozilla Foundation il 6 settembre, ha spiegato che la falla potrebbe essere sfruttata da remoto per mandare in crash il browser ed eventualmente eseguire del codice.

La vulnerabilità è stata confermata in Firefox 1.06 e 1.5 beta 1, ma interessa altresì i parenti Mozilla e Netscape 7.x/8.x.
In attesa del rilascio di una nuova versione dei propri browser, Mozilla.org ha rilasciato una patch temporanea che disabilita il supporto ai domini IDN. Ciò che fa la patch lo si può ottenere anche a mano digitando nella barra degli indirizzi about:config e assegnando il valore "false" alla voce network.enableIDN. Maggiori dettagli su questo workaround, che funziona anche con Mozilla e Netscape, si trovano nella pagina della patch.

Un analogo problema legato alla gestione degli URL IDN, che interessava quasi tutti i browser in circolazione, era già venuto alla luce all'inizio dell'anno.
TAG: 
145 Commenti alla Notizia Firefox inciampa negli URL poliglotti
Ordina
  • Scusate, ma ho letto che molti di voi si lamentano sulle prestazioni di FireFox, ma avete mai abilitato il suo "turbo" ?
    io vi assicuro che non mi sembra + di avere una schifosa 56k, dopo che, l'ho attivato.... sara' una mia suggestione o un dato di fatto ?

    http://www.fedoraonline.it/modules/wfsection/artic...

    ATTIVATELA TUTTI!

    ps: nella beta 1.5 non è possibile attivarla, perchè è probabile ( non ho fatto ricerche a riguardo...) ma è gia' inclusa, ecco perchè ad alcuni la 1.5 sembra na scheggia; senza contare ovviamente le migliorie e lo sviluppo sempre in continuo aggiornamentoOcchiolino!

    http://desktoplinux.com/news/NS5185300915.html

    Firefox 1.5 beta 1 speeds navigation, squashes security bug ! Fan Linux
    stc
    12

  • - Scritto da: stc
    > Scusate, ma ho letto che molti di voi si
    > lamentano sulle prestazioni di FireFox, ma avete
    > mai abilitato il suo "turbo" ?
    > io vi assicuro che non mi sembra + di avere una
    > schifosa 56k, dopo che, l'ho attivato.... sara'
    > una mia suggestione o un dato di fatto ?

    Fermo restando che non ho nulla di che lamentarmi per la velocita' del mio firefox, e' una tua suggestione.
    Un incremento di velocita' reale lo ottieni solo con connessioni a banda larga, come da mesi riportato in tutti gli articoli che ne spiegano i settaggi.
    1085

  • - Scritto da: stc
    > io vi assicuro che non mi sembra + di avere una
    > schifosa 56k, dopo che, l'ho attivato.... sara'
    > una mia suggestione o un dato di fatto ?

    Ho dato un'occhiata al link che hai fornito: chiamarlo "turbo" è forse un pochino esagerato, cionondimeno l'indicazione è corretta e sensata. L'impostazione che si dice di cambiare fa in modo che il browser effettui più richieste contemporaneamente al server anziché una sola per volta: se il server è "collaborativo" e sta al gioco, questo può aiutare a sfruttare maggiormente la banda a propria disposizione.
    Per rispondere alla tua domanda, quindi, non è affatto detto che la tua sia una mera suggestione, ma deve anche essere ben chiaro che questa non è né una panacea né un "turbo": se in un qualsiasi punto tra te ed il server interrogato la banda è già satura non c'è pipelining al mondo che possa incrementare il tuo rateo di d/l, e se la tua linea è a 56k non c'è software che possa farti andare a più di 56kOcchiolino
    non+autenticato
  • è possibile che sia una mia suggestione, oppure me lo spiego semplicemente definendo IE una emerita merda, che mi rallenta e non mi sfrutta tutta la banda!
    mi spiego ?

    grazie cmq, e diffondete l'OOS
    stc
    12
  • non c'è paragone: il colabrodo ie 6
    è la schifezza peggiore mai vista sul mercato
    non+autenticato

  • - Scritto da: Anonimo
    > non c'è paragone: il colabrodo ie 6
    > è la schifezza peggiore mai vista sul mercato

    secondo te se fossero realmente gravi Microsoft non li avrebbe corrette, visto che ogni mese rilascia il pacchetto cumulativo di aggiornamenti di IE.
    Ragionate o no? Microsoft ogni mese rilascia le patch per le nuove falle recentemente scoperte in IE e non ha tempo di correggere anche quelle altre? Evidentemente o sono già state corrette e gli enti che si occupano di segnalarle non si sono aggiornati oppure non sono gravi o non esiste exploit.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > non c'è paragone: il colabrodo ie 6
    > > è la schifezza peggiore mai vista sul mercato
    >
    > secondo te se fossero realmente gravi Microsoft
    > non li avrebbe corrette, visto che ogni mese
    > rilascia il pacchetto cumulativo di aggiornamenti
    > di IE.
    > Ragionate o no? Microsoft ogni mese rilascia le
    > patch per le nuove falle recentemente scoperte in
    > IE e non ha tempo di correggere anche quelle
    > altre? Evidentemente o sono già state corrette e
    > gli enti che si occupano di segnalarle non si
    > sono aggiornati oppure non sono gravi o non
    > esiste exploit.

    Beh, per esempio questo mese ha deciso di passare la mano e ritardare l'uscita della patch per una vulnerabilità critica... Ma sicuramente lo farà per il nostro bene... anzi il vostro, io mi tiro volentieri fuori...



    non+autenticato

  • - Scritto da: Anonimo
    > Beh, per esempio questo mese ha deciso di passare
    > la mano e ritardare l'uscita della patch per una
    > vulnerabilità critica... Ma sicuramente lo farà
    > per il nostro bene... anzi il vostro, io mi tiro
    > volentieri fuori...

    ti sei dimenticato che solo Microsoft e solo la società che ha scoperto quella falla conosce dove sta la vulnerabilità e in che cosa consiste. Non c'è da preoccuparsi se la patch verrà ritardata. Poi non sapete nemmeno il motivo del ritardo, potrebbe anche darsi che la società che ha fornito i dettagli della patch la sia controllando nuovamente o abbia fornito nuovi dettagli.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Evidentemente o sono già state corrette e
    > gli enti che si occupano di segnalarle non si
    > sono aggiornati oppure non sono gravi o non
    > esiste exploit.

    ma sei davvero cieco scusa?

    cioè sei talmente ignorante da credere a queste cose?


    lo sai vero che ad esempio la mail hotmail in diversi servizi non viene accettata perchè mail insicura ed è facile con un expolit bloccare l'account o impossessarsi dell'account?


    e questo da molto molto tempo...e nonostante questo tu hai un'innata fiducia in ms?....mah


    leggiti i bug e vedi se sono patchati o meno...

    se le cose le sai bene se no salle (avverbio, sì, della tua ignoranza)
    non+autenticato

  • - Scritto da: Anonimo
    > lo sai vero che ad esempio la mail hotmail in
    > diversi servizi non viene accettata perchè mail
    > insicura ed è facile con un expolit bloccare
    > l'account o impossessarsi dell'account?

    non centra nulla con quello di cui stiamo parlando ora.

    non+autenticato
  • >secondo te se fossero realmente gravi Microsoft non li >avrebbe corrette,

    secondo me si, è una vergogna, anche perché le
    centinaia di migliaia di winzombi sono usati per
    provocare danni economici enormi che paghiamo
    tutti
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > non c'è paragone: il colabrodo ie 6
    > > è la schifezza peggiore mai vista sul mercato
    >
    > secondo te se fossero realmente gravi Microsoft
    > non li avrebbe corrette, visto che ogni mese
    > rilascia il pacchetto cumulativo di aggiornamenti
    > di IE.
    > Ragionate o no? Microsoft ogni mese rilascia le
    > patch per le nuove falle recentemente scoperte in
    > IE e non ha tempo di correggere anche quelle
    > altre? Evidentemente o sono già state corrette e
    > gli enti che si occupano di segnalarle non si
    > sono aggiornati oppure non sono gravi o non
    > esiste exploit.


    scusa OGNI MESE è TROPPO TEMPO!!!
    non+autenticato


  • > scusa OGNI MESE è TROPPO TEMPO!!!

    ti dirò che ultimamente se sono gravi e già divulgate, escono subito, quindi...
    non+autenticato
  • la falla si è aperta nella barca open source che affonda lentamentemente. speriamo porti con se tutti i linari e liberi il mondo da quella fetecchia di firefox che anzichè diventare compatibile con explorer ha deciso di supportore gli standard liberi che poi liberi non sono perchè tanto sono diffusi solo quelli di microsoft
    non+autenticato
  • - Scritto da: Anonimo
    > la falla si è aperta nella barca open source che
    > affonda lentamentemente. speriamo porti con
    > se tutti i linari e liberi il mondo da quella
    > fetecchia di firefox che anzichè diventare
    > compatibile con explorer ha deciso di
    > supportore gli standard liberi che poi liberi
    > non sono perchè tanto sono diffusi solo quelli
    > di microsoft

    Come avrebbe potuto, anche volendo, scrivere un software compatibile con explorer quando la Microsoft non rilascia le specifiche ???
    non+autenticato
  • allora non aveva senso sviluppare questo browser che non ci apri neanche le paginette + semplici della rete. apro solo quella di quell' impedito dell' html che è paolo attivissimo
    non+autenticato
  • certo, certo... fra poco arriva l'infermiera con la medicina, tranquillo
    non+autenticato
  • Ehm forse dimentichi che esistono organismi internazionali che si occupano di standard, organizzi che non si chiamano (grazie a Dio!) Microsoft e ai quali già i produttori di hardware si devono attenere.
    Chi sbaglia? Chi si attiene agli standard internazionali o chi pesta i piedi e dice "lo standard non lo considero, me lo faccio io!"?
    non+autenticato
  • in verità è la MS che no rispetta alcuno standard cmq
    non+autenticato
  • la falla esiste, non viene messo in discussione.

    mozilla IL GIORNO DOPO ha messo disponibile il download di un file .xpi che disattiva il componente

    non ha messo una versione 1.0.7 ma basta andare su QUALUNQUE MIRROR cartella mozilla/firefox/nightly/latest-1.0.1 per scaricare il browser già patchato in quanto la falla non è stata corretta solo via XPI ma è stato corretto sia il ramo 1.0 che 1.5
    non+autenticato
  • la gente non può passare la giornata a cercare gli aggiornamenti. il software o è privo di errori tipo exploere o si deve aggiornare da solo magari da remoto
    non+autenticato


  • - Scritto da: Anonimo
    > la gente non può passare la giornata a cercare
    > gli aggiornamenti. il software o è privo di
    > errori tipo exploere

    :DA bocca apertaA bocca apertaA bocca aperta

    > o si deve aggiornare da solo
    > magari da remoto
    non+autenticato

  • - Scritto da: Anonimo
    > la gente non può passare la giornata a cercare
    > gli aggiornamenti. il software o è privo di
    > errori tipo exploere

    mah stralol la migliore battuta del secolo


  • > mah stralol la migliore battuta del secolo

    mi viene il dubbio stesse parlando sul serio.... però fa ridere lo stessoA bocca aperta:D:D:D
    non+autenticato

  • - Scritto da: Anonimo
    > non ha messo una versione 1.0.7 ma basta andare
    > su QUALUNQUE MIRROR cartella
    > mozilla/firefox/nightly/latest-1.0.1 per
    > scaricare il browser già patchato in quanto la
    > falla non è stata corretta solo via XPI ma è
    > stato corretto sia il ramo 1.0 che 1.5

    vallo a dire alla segretaria di turno che usa firefox 1.0.6
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > non ha messo una versione 1.0.7 ma basta andare
    > > su QUALUNQUE MIRROR cartella
    > > mozilla/firefox/nightly/latest-1.0.1 per
    > > scaricare il browser già patchato in quanto la
    > > falla non è stata corretta solo via XPI ma è
    > > stato corretto sia il ramo 1.0 che 1.5
    >
    > vallo a dire alla segretaria di turno che usa
    > firefox 1.0.6
    STRAQUOTOOOOOOOO
    maledetti i linari che pretendono cose assurde dalla gente!!!! la gente vuole VIVERE non installare software
    non+autenticato


  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > non ha messo una versione 1.0.7 ma basta andare
    > > su QUALUNQUE MIRROR cartella
    > > mozilla/firefox/nightly/latest-1.0.1 per
    > > scaricare il browser già patchato in quanto la
    > > falla non è stata corretta solo via XPI ma è
    > > stato corretto sia il ramo 1.0 che 1.5
    >
    > vallo a dire alla segretaria di turno che usa
    > firefox 1.0.6

    le segretarie non sono sistemiste, ma bensì, come dice chiaramente il nome, _segretarie_.
    non+autenticato
  • > le segretarie non sono sistemiste, ma bensì, come
    > dice chiaramente il nome, _segretarie_.

    appunto, le segretarie usano microsoftbugged word
    chi di competenza aggiorna i software
    non+autenticato


  • - Scritto da: Anonimo
    > la falla esiste, non viene messo in discussione.
    >
    > mozilla IL GIORNO DOPO ha messo disponibile il
    > download di un file .xpi che disattiva il
    > componente
    >
    > non ha messo una versione 1.0.7 ma basta andare
    > su QUALUNQUE MIRROR cartella
    > mozilla/firefox/nightly/latest-1.0.1 per
    > scaricare il browser già patchato in quanto la
    > falla non è stata corretta solo via XPI ma è
    > stato corretto sia il ramo 1.0 che 1.5

    Che cosa che cosa? Ed io devo aggiornare un qualcosa da un mirror?

    E meno male che aggiornare l'open source e' sempliceA bocca aperta

    Con windows con un click aggiorni tutto e non solo il browserA bocca aperta
    non+autenticato


  • - Scritto da: Anonimo
    > Con windows con un click aggiorni tutto e non
    > solo il browserA bocca aperta

    Proprio vero, sì sìA bocca apertaA bocca aperta
    non+autenticato
  • "Firefox, Mozilla e Netscape soffrono di una vulnerabilità che potrebbe mettere a serio repentaglio la sicurezza dei rispettivi utenti"

    Correte, corrette...
    non+autenticato


  • - Scritto da: Anonimo
    > "Firefox, Mozilla e Netscape soffrono di una
    > vulnerabilità che potrebbe mettere a serio
    > repentaglio la sicurezza dei rispettivi utenti"
    >
    > Correte, corrette...

    Corri tu a patchare IE.

    Ah, già: non esistono patch per tutti i bug di ieA bocca aperta
    (vedi secunia)
    non+autenticato

  • - Scritto da: Anonimo
    >
    >
    > - Scritto da: Anonimo
    > > "Firefox, Mozilla e Netscape soffrono di una
    > > vulnerabilità che potrebbe mettere a serio
    > > repentaglio la sicurezza dei rispettivi utenti"
    > >
    > > Correte, corrette...
    >
    > Corri tu a patchare IE.
    >
    > Ah, già: non esistono patch per tutti i bug di ie
    >A bocca aperta
    > (vedi secunia)


    osservate la pach già arrivata?ehheh
    non+autenticato


  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > >
    > > - Scritto da: Anonimo
    > > > "Firefox, Mozilla e Netscape soffrono di una
    > > > vulnerabilità che potrebbe mettere a serio
    > > > repentaglio la sicurezza dei rispettivi
    > utenti"
    > > >
    > > > Correte, corrette...
    > >
    > > Corri tu a patchare IE.
    > >
    > > Ah, già: non esistono patch per tutti i bug di
    > ie
    > >A bocca aperta
    > > (vedi secunia)
    >
    >
    > osservate la pach già arrivata?ehheh

    Il mio ff non è già più vulnerabile, trollettoA bocca aperta

    Del tuo amato IE che mi dici ora? Niente? AhiahiaihaiA bocca aperta
    non+autenticato

  • - Scritto da: Anonimo

    > Il mio ff non è già più vulnerabile, trollettoA bocca aperta

    Ciò significa che hai corsoSorride
    Correte, correte, schavi dell'informatica...
    non+autenticato


  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    >
    > > Il mio ff non è già più vulnerabile, trolletto
    >A bocca aperta
    >
    > Ciò significa che hai corsoSorride

    *Correre* a casa mia ha un significato diversoOcchiolino


    > Correte, correte, schavi dell'informatica...
    non+autenticato
  • - Scritto da: Anonimo

    > > Correte, corrette...

    > Corri tu a patchare IE.

    E perchè mai?
    non+autenticato

  • - Scritto da: Anonimo
    > - Scritto da: Anonimo
    >
    > > > Correte, corrette...
    >
    > > Corri tu a patchare IE.
    >
    > E perchè mai?


    giusto non può farlo perchè pach per i buchi aperti non ne hanno eheheh
    non+autenticato

  • - Scritto da: Anonimo

    > giusto non può farlo perchè pach per i buchi
    > aperti non ne hanno eheheh

    Battuta stupida e inutile.
    Ovviamente non *HO BISOGNO* di farlo.
    non+autenticato


  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    >
    > > giusto non può farlo perchè pach per i buchi
    > > aperti non ne hanno eheheh
    >
    > Battuta stupida e inutile.
    > Ovviamente non *HO BISOGNO* di farlo.

    Anche perchè... volendo... Sorride
    non+autenticato

  • - Scritto da: Anonimo

    > Anche perchè... volendo... Sorride

    Anche perchè non me ne può fregare di meno...
    Ma tu cerchi di cambiare il discorso dal *TUO* problema, vedo...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 14 discussioni)