Communicator, bug per i font

Il problema si verifica con un plug-in per font dinamici. Immuni i sistemi Linux e MacOS, colpiti quelli Windows con Communicator e Navigator 4.7

Mountain View (USA) - Communicator 4.7, "gioiellino" di Netscape, non Ŕ immune da bug e crash. Almeno a sentire Max Vision, un consulente che ha scoperto un bug di sicurezza quando il browser viene utilizzato con il plug in di Bitstream che consente di usare font dinamici (in formato PFR, Portable Font Resources). Pare che il bug consenta ad un hacker di usare il plug-in per causare un errore generale di sistema nella libreria NSTDFP32.DLL.

In pratica, nel processo di lettura dei font dinamici, il dialogo tra i file PFR e il browser pu˛ essere "truccato" facendo credere a quest'ultimo che la memoria necessaria per leggere il font sia maggiore del vero. A questo punto si verifica un crash da buffer overflow e la chiusura forzata del sistema.

Secondo Vision, intervistato da MSNBC, "non sono certo di quanto facile possa essere per un hacker trasformare questo bug in un attacco in grado di compromettere la macchina dell'utente, ma ci sono molti esempi di codici di questo tipo che vengono realizzati proprio di questi tempi".
Pare che il bug, che per Bitstream "non Ŕ un problema di sicurezza", sia comunque limitato alle versioni di Communicator e Navigator 4.7 che girano su piattaforma Windows. Linux e MacOS sono quindi al sicuro da questo tipo di bug. Nell'immediato, agli utenti di Netscape viene consigliato di disabilitare il plug in dal men¨ Edit/Preferences.
TAG: sicurezza