Le due (come classificato da Secunia) vulnerabilit� estremamente critiche sono state scoperte in Firefox, che pu� essere sfruttato dalla gente cattiva (cracker colti) per condurre gli attacchi scripting del traversa-luogo e per compromettere il sistema dell'utente.

Purtroppo il codice di impresa di prova-de-concetto � stato messo a disposizione pubblicamente -, senza fornire Firefox una probabilit� ripararle in primo luogo. Ci� � che cosa la rende cos� pericolosa.

I problemi sono collegati con:

  • Protezione errata di esecuzione del URL di Javascript di IFRAME nel contesto di un altro URL nella lista di storia.
  • Verifica impropria di input passata al parametro di IconURL in InstallTrigger.install ().

Una combinazione di vulnerabilit� 1 e 2 pu� essere sfruttata per eseguire il codice arbitrario in un browser degli utenti.

Il riuscito sfruttamento richiede che il luogo sia permesso installare il software (i luoghi di difetto sono update.mozilla.org e addons.mozilla.org).

I cambiamenti al servizio di fotoricettore dell'aggiornamento di Mozilla sono stati fatti per attenuare il rischio di impresa, il fondamento di Mozilla annunciato sul relativo luogo domenica di sicurezza. Mozilla re-pointed i due luoghi dell'aggiornamento ad un nuovo URL - do-not-add.mozilla.org e gli utenti insegnati a per non aggiungere quel nuovo luogo alla loro lista dei luoghi permessi. Il cambiamento, tuttavia, difende soltanto contro il prova-de-concetto corrente che sta circolando, non le vulnerabilit� essi stessi.

Pagine: 1 2