Grosso bug in firefox 2.0

By al0ha Novembre 25, 2006 Post a comment

Una grave vulnerabilità è stata riscontrata in Firefox 2.0.0.0
Lo stesso CIS lo ha battezzato con l’acronimo di RCSR (Reverse Cross Site Request) ed affligge la versione 2.0 dello stesso software.

L’exploit può essere facilmente diffuso
attraverso tutti quei sistemi ove gli utenti hanno la possibilità di
aggiungere codice HTML come blog,forum,ecc..ecc.
In particolare, il fault consente di trasmettere arbitrariamente
user/password mediante richiesta GET HTTP conservate nel Password
Manager di Firefox.
Il 12/11/2006, CIS ha notificato Mozilla questo problema nel software Firefox; Mozilla ha confermato che il fix avverrà già nella versione 2.0.0.1 o 2.0.0.2.
Nel frattempo non è stata rilasciata alcuna patch; l’unico workaround possibile consiste nel cancellare tutte le password in cache di Firefox, disabilitando tale funzionalità come illustrato qui

Il proof-of-concept di questa vulnerabilità può essere qui verificato
Technorati : , ,

  • Print this article!
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Google Bookmarks
  • Technotizie
  • FriendFeed
  • IndianPad
  • Live
  • Netvibes
  • Netvouz
  • NewsVine
  • Reddit
  • Segnalo
  • Slashdot
  • StumbleUpon
  • Twitter
  • Yahoo! Bookmarks

Commenti

  1. Un commento su “Grosso bug in firefox 2.0”

  1. [...] gi successo non molto f per la versione di Firefox 2.0.0.0, oggi la storia si ripete ma con la versione [...]

    Posted by Antonio Trigiani w3bL0g - Informatica Virale » Blog Archive » Firefox 2.0.0.5 & Safari: una falla permette di rubare le password | Luglio 22, 2007, 02:02

Inserisci un commento