Securitytracker.com riporta l’esistenza di una nuova vulnerabilità nelle ultime release dei softwares di Mozilla Foundation Firefox 1.0.6 e Mozilla 1.7.10.
Descrizione:
Un vulnerabilità è presente nella implementazione della componente cross platform “object model (xpcom)” dei browsers Mozilla e Firefox. Un attacker remoto può sfruttare il bug per causare il crash del browser dell’utente-vittima.
È possibile creare un codice HTML ad hoc che, scaricato dal browser vulnerabile, riesca a sfruttare una “race condition” nell’esecuzione delle chiamate DOM per cancellare oggetti nella pagina prima che vengano referenziati. Questo causa un “access violation” e il browser va in crash.
Una pagina web che dimostra l’exploit della vulnerabilità è disponibile a questo indirizzo: http://www.gulftech.org/wrecko.html
Mozilla Foundation ha già corretto il problema nel tronco di codice di sviluppo di Mozilla.
LINKS: Advisory per Mozilla Browser – Advisory per Firefox
Fonte: Tweakness.net
