| Autore |
 Discussione  |
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
 Inserito il - 24/10/2006 : 18:31:49
|
Nella giornata del debutto dell'atteso Firefox 2.0, mi sono ricordato di una vecchia falla del 15 agosto, segnalata su Securityfocus in cui sfruttando il tallone di Achille di Firefox, ovvero il javascript, si poteva mandare in crash il browser.
Tale vulnerabilità consiste in una corruzione di memoria, che può essere prodotta anche in remoto, semplicemente attraverso una pagine web creata su misura.
Lo sfruttamento di tale vulnerabilità potrebbe consentire ad un malintenzionato di eseguire codice maligno in maniera arbitraria nel contesto dell'applicazione vulnerabile, ma questo non è ancora stato confermato.
continua htt*://[www].pianetapc.it/view.php?id=770
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 24/10/2006 : 19:11:56
|
allora è stata tappata prima ancora di essere confermata...io ho scaricato firefox stamattina e l'ho installato...e adesso ho fatto questa specie di test con attivo solo il mulo..il mio antivirus e peerguardian che da quel che so non blocca il javascript....
htt*://[www].uploadtemple[.com]/view.php/1161709632.jpg
mah...
dimenticavo..non ho nessuna estensione che blocchi javascript o cose simili e cmq non penso che antivir le blocchi..o no?
ciao |
Modificato da - n/a in data 24/10/2006 19:14:53 |
 |
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 24/10/2006 : 19:22:23
|
Phuahahahahhahahahaha scusate... una falla che manda in crash il browser? LOL pericolosissima :D
Se i javascript per FF sono il tallone d'achille, che sono, assieme agli acriveX per IE? Una porta aperta. Intanto IE continua a mostrare al mondo la home... =P
Poi non vedo perchè postare nella sezione Dos-Windows un software che non ha nulla a che vedere con Microsoft. |
Modificato da - Trunks in data 24/10/2006 19:24:24 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 24/10/2006 : 19:32:45
|
é sempre un browser che si può utilizzare con microsoft, comunque le latre notizie le ho spostate
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=7377 |
|
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 24/10/2006 : 20:13:17
|
Citazione:
Messaggio inserito da Vanx
allora è stata tappata prima ancora di essere confermata...io ho scaricato firefox stamattina e l'ho installato...e adesso ho fatto questa specie di test con attivo solo il mulo..il mio antivirus e peerguardian che da quel che so non blocca il javascript....
htt*://[www].uploadtemple[.com]/view.php/1161709632.jpg
mah...
dimenticavo..non ho nessuna estensione che blocchi javascript o cose simili e cmq non penso che antivir le blocchi..o no?
ciao
E non hai un firewall?
Io ho scaricato la versione 2.0, ho provato il link e il browser è andato in crash.
|
|
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 24/10/2006 : 20:18:10
|
Citazione:
Messaggio inserito da Trunks
Phuahahahahhahahahaha scusate... una falla che manda in crash il browser? LOL pericolosissima :D
Se i javascript per FF sono il tallone d'achille, che sono, assieme agli acriveX per IE? Una porta aperta. Intanto IE continua a mostrare al mondo la home... =P
Pericolosa come qualsiasi altra falla simile. O vuoi che se la falla è su Firefox sia meno pericolosa?
Non c'è peggior sordo di chi non vuol sentire...
e con questo chiudo.
|
|
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 24/10/2006 : 20:24:20
|
Per me c'è differenza tra mandare in crash un browser o permettere ad un estraneo di vedere i contenuti della propria home, poi è soggettivo :D
Vero vero, non c'è peggior cieco di chi non vuole vedere :P |
Modificato da - Trunks in data 24/10/2006 20:25:32 |
|
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 24/10/2006 : 20:26:17
|
Citazione:
Messaggio inserito da Trunks
o permettere ad un estraneo di vedere i contenuti della propria home, poi è soggettivo :D
Cosa intendi? |
|
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 24/10/2006 : 20:58:58
|
Questo:
htt*://secunia[.com]/advisories/22477/
E' vero che sul blog di Microsoft affermano che il problema non sta in IE7 ma in OE, sta di fatto che non smetiscono il problema, ma rettificano che "tecnicamente" ( e praticamente mi chiedo? :P ) il vettore non è IE. Non per nulla secunia non ha voluto togliere il problema, fornendo pure un test. |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 24/10/2006 : 21:06:56
|
nu nu il firewall lo ho ma siccome tu dicevi che le cose che potevano fermare i javascript andavano chiuse così ho fatto(che poi tra l'altro outpost non mi ferma l'esecuzione di javascript e nel browser sono attivati)...
cmq se proprio proprio i javascript si possono disabilitare con un click come tu disabiliti gli active x...oppure quando fa comodo si possono disabilitare gli active x ma non i javascript?
lol poi per giunta mi fa un po ridere quando dite che su ie disattivate gli active x...lol..non so se sapete chi ha inventato gli active x...(tu erreale lo sai di sicuro ma parlo agli altri)...beh state difendendo il browser microsoft da una cosa che la microsoft ha inventato...
lol....vabbe buttiamola sul ridere se no ci si scanna...lol
ciao |
|
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 24/10/2006 : 21:07:49
|
Citazione:
Messaggio inserito da Trunks
Questo:
htt*://secunia[.com]/advisories/22477/
E' vero che sul blog di Microsoft affermano che il problema non sta in IE7 ma in OE, sta di fatto che non smetiscono il problema, ma rettificano che "tecnicamente" ( e praticamente mi chiedo? :P ) il vettore non è IE. Non per nulla secunia non ha voluto togliere il problema, fornendo pure un test.
Ah ok. si in effetti non hanno fatto una gran figura. Anche perchè se è vero che il bug è in OE non "capisco" come mai ne risenta IE.
Tornando a Firefox, sembra, (ma non è ancora stato confermato) che la vulnerabilità possa consentire anche l'esecuzione di codice arbitrario.
|
|
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 24/10/2006 : 21:11:19
|
Citazione:
Messaggio inserito da Vanx
nu nu il firewall lo ho ma siccome tu dicevi che le cose che potevano fermare i javascript andavano chiuse così ho fatto(che poi tra l'altro outpost non mi ferma l'esecuzione di javascript e nel browser sono attivati)...
cmq se proprio proprio i javascript si possono disabilitare con un click come tu disabiliti gli active x...oppure quando fa comodo si possono disabilitare gli active x ma non i javascript?
lol poi per giunta mi fa un po ridere quando dite che su ie disattivate gli active x...lol..non so se sapete chi ha inventato gli active x...(tu erreale lo sai di sicuro ma parlo agli altri)...beh state difendendo il browser microsoft da una cosa che la microsoft ha inventato...
lol....vabbe buttiamola sul ridere se no ci si scanna...lol
ciao
Certo che sapevo che la tecnologia activex è di Microsoft. Cmq outpost i javascript li filtra eccome, dal plugins active content.
Activex e javascript li puoi attivare e disabilitare quando vuoi. Ovvio che con firefox non puoi agire sugli activex in quanto non li esegue. |
|
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 24/10/2006 : 21:12:58
|
La butto li, magari è qualche libreria condivisa :P
Confermo che FF2 senza firewall crasha, almeno su linux. Per il resto ne ho sentite altre sparate su presunti bug critici con esecuzione di codice arbitrario ( tipo la famosa conferenza hackers :P) Io sarei prudente... |
Modificato da - Trunks in data 24/10/2006 21:14:22 |
|
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 24/10/2006 : 21:16:22
|
Citazione:
Messaggio inserito da Trunks
La butto li, magari è qualche libreria condivisa :P
Confermo che FF2 senza firewall crasha. Per il resto ne ho sentite altre sparate su presunti bug critici con esecuzione di codice arbitrario ( tipo la famosa conferenza hacers :P) Io sarei prudente...
Si anch'io sarei prodente, ma a diffondere la news ad agosto è stato securityfocus, altro sito serio sullo stile secunia, e non mi è mai capitato di leggere cose, da questi due siti, che poi siano state smentite.
boh...stiamo a vedere se esce qualche commento da Mozilla.
Ps. Per IE, si molto probabilmente è qualche dll condivisa. |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 25/10/2006 : 09:29:53
|
Ho fatto un po' di prove, cosi` tanto per vedere il crash. Ho utilizzato firefox 1.5.0.7 (scaricato dal sito di mozilla) su suse 10.1. Se lancio firefox con il classico doppio click sull'icona, andando sull'indirizzo del crash effettivamente va in crash. Se lo lancio da riga di comando, non va in crash. Questo sia lanciando firefox in foreground che in background.
Pareri a riguardo? |
Modificato da - ori in data 25/10/2006 09:51:59 |
|
|
|
Er-Gladiatore
Advanced Member
Città: Roma
2540 Messaggi |
Inserito il - 25/10/2006 : 10:23:26
|
Mhmmm, credo che casa Mozilla la tapperà il prima possibile, non ci resta che aspettare  |
|
|
|
Discussione |
|
Firefox 2.0: nuovo browser...vecchia falla
Forum Bloccato
