Scoperti nuovi spifferi nei browser web

Firefox, Internet Explorer ed altri browser soffrono di alcune debolezze che potrebbero consentire ad un aggressore di lanciare attacchi di spoofing e cross-site scripting

Roma - Negli scorsi giorni alcuni esperti di sicurezza hanno divulgato nuove debolezze che affliggono alcuni dei più diffusi browser web in circolazione, tra i quali Internet Explorer 6/7, Firefox 2, Opera e Konqueror.

Firefox è vulnerabile a certi tipi di attacco che utilizzano l'URI wyciwyg:// per accedere a certi contenuti della cache o per bypassare la policy "same domain", consentendo così l'esecuzione di script cross-site. IE soffre invece di un problema legato alla funzione document.open() che potrebbe essere sfruttata da certi siti web per impedire all'utente di abbandonare una pagina web. Opera e Konqueror, infine, contengono una debolezza legata alla gestione dell'UTI data:// che potrebbero essere utilizzati da un malintenzionato per inoculare contenuti a propria scelta all'interno di una pagina web.

Le vulnerabilità sono state sintetizzate in questo articolo di Heise-security.co.uk, dove si trovano anche i link agli advisory originali e ai test di vulnerabilità.
53 Commenti alla Notizia Scoperti nuovi spifferi nei browser web
Ordina
  • Scusate ma sono solo io ad avere la versione 2.0.0.11
    di firefox?
    Ohibò, eppure è stata rilasciata da mozilla, link:
    http://www.mozillaitalia.it/legginews.php?id=284
    o la notizia è vecchia, mooooolto probabile ma allora com'è possibile che sia comparsa oggi, dom 2 dicembre 2007, o io ho un pc che viaggia nel futuro....
    Oddio se gli rss oggi me la portano ol server di P.I è partito!!!!!!!!!!!!!!!!!!!!!!
    non+autenticato
  • - Scritto da: Nello Gala
    > Scusate ma sono solo io ad avere la versione
    > 2.0.0.11
    > di firefox?
    > Ohibò, eppure è stata rilasciata da mozilla, link:
    > http://www.mozillaitalia.it/legginews.php?id=284
    > o la notizia è vecchia, mooooolto probabile ma
    > allora com'è possibile che sia comparsa oggi, dom
    > 2 dicembre 2007, o io ho un pc che viaggia nel
    > futuro....
    >
    > Oddio se gli rss oggi me la portano ol server di
    > P.I è
    > partito!!!!!!!!!!!!!!!!!!!!!!

    Ma hai letto la data di questa news???? Cylon
    non+autenticato
  • Non è detto che tutto il pianeta possa aggiornare all'istante alle versioni successive... certo sarebbe meglio ma non è sempre possibile!
    non+autenticato
  • Io ho provato ad attivare l' exploit ma credo che venga bloccato dal firewall, proverò da casa.
    Piuttosto dire che è vulnerabile la versione 2.0.0.4 mi sembra un po' "demodè", è una versione vecchiotta direi (io al momento uso la .9).
    E poi c'è sempre NoScript!

    P.S.: una bambolina al primo troll che spara a 0 su noscript senza sapere di che parla (a parte UnaDuraLezione che so non essere un troll e che so non apprezzare NoScript per il suo profilo di utilizzo)
  • oooopss!!! scusate, per un po' di tempo la notizia era apparsa oggi (19/11/2007) in prima pagina e non mi ero accorto che fosse vecchia di mesi! E' ovvio che a parte le considerazioni su noscript il resto è tranquillamente ignorabile! Sorride
  • Firefox 2.0.0.4 era vulnerabile.
    La falla è http://www.mozilla.org/security/announce/2007/mfsa...   riparata in 2.0.0.5

    Probabilmente merced usa NoScript, che impediva l'exploit di tutte le falle riportate.
    non+autenticato
  • - Scritto da: Giorgio Maone
    > NoScript

    non è vero perchè:
    1. ti basta un sito compromesso che hai autorizzato affinchè noscript te lo mette in quel posto.
    2. il 99% dei siti web usa javascript, quindi dovresti autorizzarli tutti
    non+autenticato
  • - Scritto da: fff

    > 1. ti basta un sito compromesso che hai
    > autorizzato affinchè noscript te lo mette in quel
    > posto.

    Invece senza NoScript qualunque sito sconosciuto che incontri per la prima volta te lo mette in quel posto.

    > 2. il 99% dei siti web usa javascript, quindi
    > dovresti autorizzarli
    > tutti

    Usa javascript != richiede JavaScript, "autorizzare tutti" è proprio il genere di idiozia che NoScript ti permette di evitare.
    La mia whitelist permanente conta solo 20 siti, anche se ne visito migliaia. Se proprio è indispensabile, posso sempre concedere un'autorizzazione temporanea per la sessione.

    Infine, indipendentemente da quanto sicuro reputi il tuo browser, sei sempre esposto al cross-site scripting che riguarda, questo sì, più dell'80% dei siti. E tu li autorizzi tutti, mentre chi usa NoScript ne è protetto.
    non+autenticato
  • contenuto non disponibile
  • Scusa.. ma tu, quando usi adaware, spybot, hijackthis, antivirus, antivirus online, cookie cleaner, regcleaner, eccetera, eccetera, eccetera.. per ripulire i casini che combina Internet Explorer, che fai? Passatempo? Hobby & Work?! Ti diletti nel testare l'efficacia di quelle applicazioni?

    -_-'
    non+autenticato
  • contenuto non disponibile
  • quoto in pieno.
    Quanto ai commenti di UnaDuraLezione capisco il suo punto di vista e lo ritengo valido, ma semplicemente non lo condivido.
    Il fatto che esista NoScript secondo me rende Firefox molto più sicuro senza pesare eccessivamente sull' uso quotidiano per una persona che fa della navigazione normale (ovvero non frequenta ogni giorno decine/centinaia di siti diversi).
    Poi come ho scritto non è detto che vada bene per tutti.
  • Non essendo pochi, gli anni trascorsi in 'ambiente Internet', posso dire che, in quanto a sicurezza di navigazione, sono stati fatti molti progressi. Non solo per i browser , certo. Eppure, non è da poco tempo che sento dire che: ' La sicurezza assoluta, in Internet, non esiste'. Questo, è il motivo per cui, di punti 'deboli', ve ne saranno sempre. Che siano gli hackers o i più distruttivi crackers , a scoprirli è relativamente importante. Di sicuro , un vero hacker, individuata la falla, o se la tiene per sé o la comunica a chi puo' provvedere a risolvere il problema ma, certamente non danneggerà nessuno , degli internauti. Nel caso di un cracker, invece...Che poi, la disinformazione di regime, tramite tv e stampa, definisca hacker's quelli che mettono sottosopra i sistemi informatici di aziende e di altre istituzioni, è un'altra cosa.Che meriterebbe più di un approfondimento.
                                             Il Musico
  • - Scritto da: ilmusico
    > Non essendo pochi, gli anni trascorsi in
    > 'ambiente Internet', posso dire che, in quanto a
    > sicurezza di navigazione, sono stati fatti molti
    > progressi

    ? Stai scherzando, spero. La gente che resta infettata oggi e' dieci volte (in percentuale) quella che veniva infettata 10 anni fa, se non di piu'.
    non+autenticato
  • Meraviglie della banda larga, e di Bill Gates che diceva in futuro di vedere un computer in ogni famiglia.
    Chissà se li aveva visti tutti i virus e microbi che ci stavano attaccati sopra...
    non+autenticato
  • Effettivamente, cio' che Lei dice, corrisponde (purtroppo). Probabilmente,anni fa, Internet anche molto frequentata,lo era meno di quanto lo sia attualmente. Questo dato, aumenta esponenzialmente, i rischi dovuti ai vari tipi di virus , intrusioni di hacker e via dicendo.
    Quando dicevo che la sicurezza è aumentata , non ero sufficientemente informato. Tanto per portare un esempio personale: di trojans, heuristic, in un mese , ne vedo segnalati (tramite l'antivirus, sempre aggiornato)in misura consistente( 5-8).In seguito ad un consiglio di chi ne sa più di me (e non ci vuole molto), quando un virus viene individuato , è meglio andare in modalità provvisoria e poi mettere in azione l'antivirus.Pare che si possa essere più sicuri, dell'eliminazione del...nemico informatico! O è solo un'opinione campata 'per aria'?
  • Facciamoci meno seghe mentali (tanto ormai mandarsi a fare in culo non è più reato).
    Se aggiorniamo alla 2.0.0.5 rilasciata stamattina (o ieri sera) siamo a posto.

    http://www.mozilla.org/projects/security/known-vul...

    Ovviamente explorer sarà pachato tra 5 o 6 mesi.
    non+autenticato
  • - Scritto da: Meno Seghe
    > Ovviamente explorer sarà pachato tra 5 o 6 mesi.

    ciccio, guarda che la falla era in firefox, non in IE
    non+autenticato
  • - Scritto da: fff
    > - Scritto da: Meno Seghe
    > > Ovviamente explorer sarà pachato tra 5 o 6 mesi.
    >
    > ciccio, guarda che la falla era in firefox, non
    > in
    > IE

    Ovviamente, tranne che per te, mi riferivo agli altri spifferi che riguardano explorer.
    Quelli saranno pachati tra 5 o 6 mesi.
    Chiaro adesso ??
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)