BlogZilla

Mozilla.org ha pubblicato un security advisory in risposta ai recenti reports su una potenziale vulnerabilità DoS in Firefox 1.5.Mozilla ha smentito l’esistenza di una falla nel codice del suo popolare browser open-source e si riferisce al problema come semplice “long-title temporary startup unresponsiveness”.

Le pagine web che includono un titolo estremamente lungo (nel proof of concept pubblico venivano usati 2.5 milioni di caratteri) possono causare uno stato di “hang” in Mozilla Firefox e Mozilla Suite durante l’avvio e la lettura dei dati di cronologia. Secondo Mozilla il browser continua comunque a funzionare correttamente ma ovviamente richiede parecchio tempo per gestire l’enorme quantità di dati, in particolare su computer lenti. Lo stato di “unresponsiveness” dura finché il titolo lungo non viene eliminato dal file della history o la pagina “scade” e viene rimossa dalla cronologia.

“We have investigated reports of an exploit involving web pages with long titles and have found no risk to users beyond a temporary unresponsiveness at startup. We have posted details and instructions on clearing history data”.

Per risolvere il problema l’utente potrà eliminare i files dalla cronologia:
– Aprire “Cronologia” dal menu “Vai”
– Selezionare l’oggetto che presenta il titolo lungo
– Scegliere “Elimina” da menu contestuale

In alternativa è possibile eliminare tutti i dati di history:
[In Firefox 1.5]
– Selezionare “Elimina i dati personali” dal menu “Strumenti”
– Selezionare il box “Cronologia di navigazione” e premere “Elimina i dati personali adesso”
[In Firefox 1.0 (funziona anche in 1.5)]
– Selezionare “Opzioni” dal menu “Strumenti”
– Nel tab “Privacy” selezionare “Cronologia”
– Premere il pulsante “Svuota la cronologia”

Fonte: Tweakness.net

Un exploit pubblico fa leva su di un bug recentemente scoperto in Firefox e ancora non corretto. Mozilla Foundation ne minimizza la pericolosità.

La scorsa settimana Packetstorm Security ha pubblicato il codice di un exploit proof of concept che mette in luce una debolezza del nuovo Firefox 1.5.

La società afferma che il bug può essere utilizzato da un sito web per “causare il crash istantaneo del browser a causa di un buffer overflow”. Il problema si verifica quando Firefox memorizza nella cronologia, ovvero nel file history.dat, pagine web con titoli troppo lunghi.

Packetstorm ritiene che un malintenzionato potrebbe sfruttare il baco per lanciare attacchi di denial of service o, con alcune modifiche all’exploit, per eseguire del codice da remoto.

In una nota apparsa su Mozilla.org il problema viene descritto come una “innocua seccatura”. Gli sviluppatori di Firefox sostengono infatti che l’unico effetto collaterale del bug è un “apparente blocco” del browser che si verifica ogni volta che viene caricata in memoria la cronologia: sui PC più lenti Firefox e Mozilla potrebbero impiegare anche diversi minuti prima di tornare a funzionare normalmente. Nei suoi test, tuttavia, il team di sviluppo afferma di non aver mai sperimentato alcun crash del programma: ciò renderebbe anche impossibile l’eventuale esecuzione di codice.

“Al di là del temporaneo blocco all’avvio del browser, non sembrano esserci rischi per gli utenti o per i loro computer “, si legge nell’advisory di Mozilla.org.

In attesa di una patch, la soluzione più rapida del problema è quella di cancellare il contenuto della cronologia o di eliminare manualmente il file history.dat.

Secunia ha classificato la debolezza di Firefox con il minore grado di rischio.

Negli scorsi giorni NetApplications, società che fornisce servizi e software per l’analisi dei dati di accesso al Web, ha detto che la quota di diffusione di Firefox è passata dall’8,6% di ottobre all’8,8% di novembre: un dato che sembra confermare come la marcia del famoso browser open source, pur se significativamente più lenta rispetto all’inizio dell’anno, non si sia affatto arrestata. NetApplications dà invece IE all’86,5%: dodici mesi fa deteneva oltre il 90% del mercato.

Fonte: Punto Informatico