[glux] OT falla firefox

gigiv gigiv@quipo.it
Mer 2 Mar 2005 14:52:01 CET


porca miseria!!!!
gg

> Falla di Firefox 1.0 per Windows e Linux
>
> Visualizzando una pagina Web nel popolare browser, un aggressore può 
> penetrare
> nel computer. Istruzioni, dimostrazioni e soluzioni.
>
> [ZEUS News - www.zeusnews.it - 01-03-2005]
>
> Firefox 1.0, il browser libero e gratuito che si candida a competere con
> Internet Explorer, ha una falla decisamente imbarazzante che impone 
> l'aggiornamento
> immediato alla versione 1.0.1. Usato per visitare una pagina Web ostile,
> consente all'aggressore di scrivere o eseguire file a proprio piacimento 
> sul
> computer della vittima.
>
> Falle di questo livello sono abitualmente associate a Internet Explorer: 
> i
> tifosi di Firefox non si aspettano che anche il loro beniamino li 
> tradisca in
> questo modo (in fondo, è per questo che hanno abbandonato IE). Ma è così,
> perlomeno per gli utenti Windows e Linux (Firefox 1.0 per Mac risulta 
> immune).
>
> La falla è stata scoperta da Mikx, alias Michael Krax, che ne ha 
> preparato una
> sorprendente dimostrazione (volutamente innocua).
>
> Funziona così: andate alla pagina dimostrativa di Mikx e cliccate sul 
> link
> corrispondente al vostro sistema operativo. Compare una pagina di testo
> riempitivo in latino, dall'aria assolutamente innocua.
>
> Ora usate la barra di scorrimento verticale per far scorrere su e giù la 
> pagina
> un paio di volte. Se siete vulnerabili, in Windows viene scritto ed 
> eseguito un
> file che fa comparire una finestra DOS (ma potrebbe fare ben altro, per 
> esempio
> cancellare o sostituire file), mentre in Linux viene scritto un file 
> nella home
> directory dell'utente.
>
> Nella versione Windows, il file scritto si chiama c:\booom.bat (con tre 
> O); in
> quella Linux, si chiama booom.txt (sempre con tre O). Per ripetere il 
> test,
> chiudete la finestra di Firefox e tornate alla pagina dimostrativa.
>
> E' una falla estremamente subdola: l'unica traccia visibile della sua
> attivazione è che il puntatore del mouse, invece di avere la forma 
> consueta
> della freccia, quando viene posto sulla barra di scorrimento, diventa 
> una manina.
> Ma quanti ci faranno caso?
>
> Sfruttarla è facilissimo: basta indurre la vittima a far scorrere su e 
> giù la
> pagina-esca (se vi sembra un comportamento improbabile, pensate a una 
> pagina che
> contiene il calendario completo della bellona di turno). La falla, fra 
> l'altro,
> consente anche di alterare di nascosto le impostazioni di Firefox.
>
> Difendersi non è semplice: occorre aggiornarsi a Firefox 1.0.1 e 
> disattivare
> Flash e/o Javascript.
>
> La morale della storia è che non ci si può fidare ciecamente di un 
> browser
> alternativo solo perché è alternativo e open source: né l'approccio 
> "chiuso"
> commerciale né quello "aperto" dell'open source di per sé garantiscono la
> qualità. Spesso, sull'onda della passione informatica, ci si dimentica 
> di questo
> fatto.
>
> Aggiornamento (1/3/2005 12.55): Le segnalazioni dei lettori e i test 
> condotti
> personalmente indicano che anche la versione 1.0.1 non è del tutto 
> immune a
> questa falla: in alcuni casi la finestra di Firefox tende a bloccarsi 
> dopo lo
> scorrimento verso il basso (ma le altre finestre del browser rimangono
> utilizzabili). Le esperienze dei lettori sono nei commenti all'articolo. 
> Ho
> aggiornato il testo dell'articolo per tenerne conto.
> Link sponsorizzati:
>
> No  virus  found  in  this  outgoing  message.
>
> Checked  by  AVG  Anti-Virus.
>
> Version:  7.0.300  /  Virus  Database:  266.5.7  -  Release  Date:  
> 01/03/2005



-- 
gigi vigano'
http://spazioinwind.libero.it/gili/gi/gi.htm
http://www.cornizzolo.it/ http://www.lecco.linux.it
GPG/PGP encryption Key-Id:0xED8A84C8
meteo automatic updater by @arminillo ===================================
Meteo
===================================
Milano/Linate
TODAY/TOMORROW
Mostly Sunny/Snow
T.Max: 2/T.Max: 1
T.Min: -5/T.Min: -3
===================================



Maggiori informazioni sulla lista glux