Falla in Firefox 2 - aggiornamento del 28/7/2007

Versione Completa   Stampa   Cerca   Utenti   Iscriviti     Condividi : FacebookTwitter
EFP » EFP » Altro » Hardware, Software e dintorni
suinogiallo
00mercoledì 11 luglio 2007 12:15
E' stata segnalata da FrSIRT e definita da Secunia della massima gravità.

Si tratta, per dirla con le parole di FrSIRT:

"un errore di design", relativo alla gestione degli URI (Uniform Resource Identifier) di tipo FirefoxURL://.


E la curiosità è che può essere innescato da IE (explorer) o da qualsiasi altro browser basato su windows.
In pratica, usando l'URI incriminata del codice maligno potrebbe avviare Firefox e fargli eseguire del codice Javascript, installare estensioni, creare profili utenti e via dicendo.

Al momento sembra non ci sia nessuna patch per correggere questa falla e l'unica raccomandazione, oltre ad un workaround proposto dalla stessa FrSIRT, è quella di visitare solo siti sicuri in attesa che venga chiusa questa falla, sperando che non sia presente anche in Firefox 3.

Ulteriori informazioni:

punto informatico

FrSIRT (in lingua inglese)

Hasta Luego
Naco chan
00mercoledì 11 luglio 2007 13:15
Ammetto di essere idiota, ma non ho capito bene cosa potrebbe provocare. ^^
suinogiallo
00mercoledì 11 luglio 2007 14:09
Detto semplicemente, attraverso un altro browser (tipo appunto Explorer) si potrebbe costringere Firefox ad aprirsi e ad eseguire comandi pericolosi per il computer, quali appunto installare delle estensioni non verificate e quindi potenzialmente pericolose, oppure eseguire dei javascript che, come sappiamo, sono in grado di prendere il controllo del pc e costringerlo a fare varie cose.

Hasta Luego
!Roby92!
00mercoledì 11 luglio 2007 21:50
Re:
suinogiallo, 11/07/2007 14.09:
Detto semplicemente, attraverso un altro browser (tipo appunto Explorer) si potrebbe costringere Firefox ad aprirsi e ad eseguire comandi pericolosi per il computer, quali appunto installare delle estensioni non verificate e quindi potenzialmente pericolose, oppure eseguire dei javascript che, come sappiamo, sono in grado di prendere il controllo del pc e costringerlo a fare varie cose.

Hasta Luego

Ma quindi ce ne accorgiamo, no?
Se stiamo su IE e si apre magicamente Firefox, siamo nei guai? XD

Naco chan
00giovedì 12 luglio 2007 11:46
Re:
suinogiallo, 11/07/2007 14.09:
Detto semplicemente, attraverso un altro browser (tipo appunto Explorer) si potrebbe costringere Firefox ad aprirsi e ad eseguire comandi pericolosi per il computer, quali appunto installare delle estensioni non verificate e quindi potenzialmente pericolose, oppure eseguire dei javascript che, come sappiamo, sono in grado di prendere il controllo del pc e costringerlo a fare varie cose.

Hasta Luego
Oh, grazie, pensavo di aver capito male! XD


suinogiallo
00giovedì 12 luglio 2007 14:03
Re: Re:
!Roby92!, 11/07/2007 21.50:


Ma quindi ce ne accorgiamo, no?
Se stiamo su IE e si apre magicamente Firefox, siamo nei guai? XD



In teoria si, se ci si apre firefox mentre stiamo navigando con IE qualcosa non va.

Hasta Luego


Naco chan
00domenica 15 luglio 2007 11:40
Ecco, appunto.
Mi è appena successo (visto che ad un certo punto si è aperta una finestra in firefox). E dire che io non uso MAI IE; ma gli space me li apre direttamente con quel maledetto! ><
Una domanda: cosa devo fare, a parte una scansione?
!Roby92!
00domenica 15 luglio 2007 12:41
Re:
Naco chan, 15/07/2007 11.40:
Ecco, appunto.
Mi è appena successo (visto che ad un certo punto si è aperta una finestra in firefox). E dire che io non uso MAI IE; ma gli space me li apre direttamente con quel maledetto! ><
Una domanda: cosa devo fare, a parte una scansione?

La mia proposta è quella di fare fuori IE e poi di farti fuori tu (Come ti ho detto su MSN XD), ma penso che Suino possa essere più d'aiuto °___°


suinogiallo
00domenica 15 luglio 2007 12:51
Informazioni su cosa fare non ne ho trovate in rete dato che non si tratta di un virus o di altro, ma di un errore proprio di design di Firefox che potrebbe aprire la porta a qualsiasi cosa.

In caso di sospetto penso che le raccomandazioni classiche siano sufficenti.
Verificare con un antivirus aggiornato se si è venuti in contatto con malware (antivirus, antimalware, e via dicendo), controllare se il pc si comporta in modo strano, verificare se sulle barre degli strumenti dei browser c'è qualcosa che prima non c'era, verificare che la home page sia quella solita e non sia cambiata, controllare i processi che vengono fatti partire all'avvio del sistema, controllare i sistemi che sono in funzione (esiste un programmino, wikiprocess che controlla i processi attivi e controlla in rete a cosa fanno riferimento).
Come ho detto prima, il bug di firefox può aprire la porta a varie cose e quindi in caso di sospetto occorre controllare tutto.

Speriamo che la versione 2.0.0.5 arrivi presto con la correzione di questo errore.

Hasta Luego
Naco chan
00domenica 15 luglio 2007 13:17
Grazie dell'aiuto, Suino.
Come ho detto a Roby, quando mi si è aperta la pagina su Firefox, mi è apparso un avviso nel quale il mio antivirus mi chiedeva se volevo eliminare il probabile virus, o qualcosa del genere, e ho dato l'ok. Dopodicché non mi è apparso più nulla.
suinogiallo
00mercoledì 18 luglio 2007 12:01
Online la versione 2.0.0.5 di Firefox che corregge questa falla ed altri problemi che affligevano la versione 2.0.0.4

Si raccomanda di aggiornare Firefox

Hasta Luego
Naco chan
00mercoledì 18 luglio 2007 18:35
Re:
suinogiallo, 18/07/2007 12.01:
Online la versione 2.0.0.5 di Firefox che corregge questa falla ed altri problemi che affligevano la versione 2.0.0.4

Si raccomanda di aggiornare Firefox

Hasta Luego
Uh, buono!
L'installai appena dopo la scoperta del problema. ^^

!Roby92!
00mercoledì 18 luglio 2007 22:16
Menomale!
Dragon85
00giovedì 19 luglio 2007 22:58
Ah bene, a me l'ha fatto automaticamente.
Comunque non ho mai aperto IE e mai lo aprirò, quindi non ci sono problemi. XD
suinogiallo
00sabato 28 luglio 2007 12:59
Fate conto che abbiamo scherzato. La falla riguardante gli URI che sembrava essere stata corretta con l'aggiornamento alla versione 2.0.0.5 non è stata corretta ma è ancora bella presente, quindi, come prima, massima attenzione ai siti che visitate e al primo segno strano fate partire un bel controllo sul sistema.

Un buon sistema potrebbe anche essere quello di impedire a fiorefox di raggiungere la rete bloccandolo tramite firewall.

Hasta Luego
Naco chan
00domenica 29 luglio 2007 18:02
Re:
suinogiallo, 28/07/2007 12.59:
Fate conto che abbiamo scherzato. La falla riguardante gli URI che sembrava essere stata corretta con l'aggiornamento alla versione 2.0.0.5 non è stata corretta ma è ancora bella presente, quindi, come prima, massima attenzione ai siti che visitate e al primo segno strano fate partire un bel controllo sul sistema.

Un buon sistema potrebbe anche essere quello di impedire a fiorefox di raggiungere la rete bloccandolo tramite firewall.

Hasta Luego
Che "belle" notizie.
Ho sentito dire che ci sarà presto la versione 3. Spero che almeno lì si ricordino...


Questa è la versione 'lo-fi' del Forum Per visualizzare la versione completa clicca qui
Tutti gli orari sono GMT+01:00. Adesso sono le 14:28.
Copyright © 2000-2024 FFZ srl - www.freeforumzone.com