Olimpo Informatico

[Zeus News]

Commenti all'articolo Falla di Firefox 1.0 per Windows e Linux
Visualizzando una pagina Web nel popolare browser, un aggressore può penetrare nel computer. Istruzioni, dimostrazioni e soluzioni.

[Matteo Sardella]

Avevo già aggiornato Firefox su Windows alla 1.0.1 in seguito all'ultima (ora penultima) segnalazione di baco, però il malfunzionamento c'è sempre. Scompare solo se si disabilita Javascript.

[Jan]

Cliccando sulla pagina dimostrattiva viene visualizzata richiesta di apertura del URL remoto.

[Ash y Nod]

La pagina dopo il primo scrolling la pagina si blocca in alto e non torna giù.Da quel che posso vedere niente va in esecuzione e non ci sono altri segnali di attività,Il browser continua a funzionare normalmente,solo quella pagina risulta con lo scrolling bloccato.

[Alekos]

Io ho linux mandrake 10.0 e firefox 1.0 preso dai pacchetti della cooker... ho provato il test ma non mi crea nessun file, in compenso mi rende decisamente instabile il browser, ma in definitiva nulla di grave... molto strano

[GiAnGy]

A remote script execution vulnerability affects Mozilla Firefox. This issue is due to a failure of the application to properly validate the origin of scripts prior to execution when loaded into a browser window by dragging JavaScript image URIs into the address bar.

An attacker may leverage this issue to execute arbitrary script code in the context of a target Web site in the browser of an unsuspecting user. This may facilitate cookie-based authentication credential theft as well as other attacks.

No exploit is required to leverage this issue. The following proof of concept is available; please note that neither the referenced proof of concept nor the website it is hosted on are verified by Symantec.

http://greyhatsecurity.org/vulntests/firefox.htm

Vulnerable

Mozilla Firefox 1.0
Mozilla Firefox 1.0.1

Advisories a pagina http://www.securityfocus.com/bid/12672/

[gear1ne]

Ok, lo so che non era tra gli OS vulnerabili ma ho voluto cmnq provare (scelto ovviamente linux testpage, nessun file booom trovato nè nella home nè sulla macchina) ed ho notato che la menù bar in basso, al momento di fare lo scrolling della pagina, mostra l'inquietante msg "chrome://browser/content/openLocation.xul"

[Ospite]

IO uso la moox M3 version di dicembre e mi capita soltanto che si blocca la barra di navigazione, non crea nè esegue nessun file.

[Federico]

Ho winXP sp1 e firefox1.0 e facendo scorrere la barra sulla pagina segnalata non mi succede assolutamente niente. Ho controllato anche le impostazioni di Java e javascript e sono entrambe attive.
Qualche spiegazione?

[Flavio]

"La morale della storia è che non ci si può fidare ciecamente di un browser alternativo solo perché è alternativo e open source: né l'approccio "chiuso" commerciale né quello "aperto" dell'open source di per sé garantiscono la qualità. Spesso, sull'onda della passione informatica, ci si dimentica di questo fatto."

ma che stai dicendo?!?
1. fidarsi "ciecamente" di un software è stupido!
1a., se il software è open non sei cieco....

2. non confondere la qualità con presenza di bachi, non esiste un software bug free, a favore/sfavore del software libero si puo dire solo che i bachi vengono scoperti piu in fretta e altrettanto piu in fretta sistemati.

un commento di questo tipo non me lo sarei aspettato da Paolo Attivissimo, anzi leggendo tra le righe sembra denigratorio nei confronti dell'opensource.

[Marco]

[quote]Cliccando sulla pagina dimostrattiva viene visualizzata richiesta di apertura del URL remoto.[/quote]

Anche a me succede le stesso, solo in ambiente windows.

[Purplet]

"1. fidarsi "ciecamente" di un software è stupido!
1a., se il software è open non sei cieco...."

-> tu leggi tutti i sorgenti (e cmq non basterebbe) prima di usare ogni software open ? Da come parli immagino tu usi firefox.. come mai non hai trovato tu il bug ? ti sei forse fidato ciecamente ?

"2 : i bachi non vengono sempre scoperti così in fretta"
-> Firefox 1.0 non è uscito ieri

sulla velocità del fix dipende dal team di sviluppo e dalla gravità del bug, indubbiamente il software libero tipicamente reagisce più in fretta, per numerosi motivi - un motivo in più per ricordare di non fidarsi del software e controllare sempre patch e comunicati di sicurezza : troppa gente finisce col non patchare perchè "tanto linux/firefox/altro non ne ha bisogno"..

Non mi sembra per nulla denigratorio nel confronto dell'opensource, mi sembra solo realistico e non fanatico come qualcun'altro.

[Paolo Attivissimo]

>ma che stai dicendo?!?
1. fidarsi "ciecamente" di un software è stupido!
1a., se il software è open non sei cieco....

Intendo dire che la maggior parte dei milioni di scaricatori e utenti di FF non ha esaminato il sorgente prima di adottarlo (e io sono il primo a non averlo fatto), per cui dal punto di vista dell'utente medio, si e' "ciechi" anche col codice a sorgente pubblico.

>2. non confondere la qualità con presenza di bachi, non esiste un software bug free, a favore/sfavore del software libero si puo dire solo che i bachi vengono scoperti piu in fretta e altrettanto piu in fretta sistemati.

su questo sono d'accordo: sto soltanto dicendo che open non significa automaticamente qualita', cosa che troppo spesso sento dire. Ci sono programmi open scritti benissimo, ci sono programmi closed scritti benissimo, come ci sono programmi open e closed che fanno pena.

Sul fatto che i bachi nell'open siano corretti piu' rapidamente, ma soprattutto sul grandissimo vantaggio di non dover dipendere dal vendor per correggerli, non ci piove.

>un commento di questo tipo non me lo sarei aspettato da Paolo Attivissimo, anzi leggendo tra le righe sembra denigratorio nei confronti dell'opensource.

Diciamo che siccome ormai e' abbastanza nota la mia posizione pro-open, mi posso permettere ogni tanto di fare qualche richiamo alla realta' ;-)

Le illusioni e i miti possono fare male al software open come il FUD della concorrenza.

Ciao da Paolo.

[Ospite]

strano, mi da solamente una finestra di apertura di un link remoto...

[AnyFile]

Qundo e' che chi fa le pagine del web la smettera' di pretendere che uno ha i javascript attivati?

[Francesco]

Ho provato a seguire le tue istruzioni, purtroppo non riesco ad aprire la pagina e nel provare a farlo parte la segnalazione di errore alla Microsoft. Ciao e grazie per le tue notizie

[Ospite]

ho firefox 1.0 mi si blocca la pagina ma diente boom.bat. S.O. win 2k su p3 500 128ram.

[Bruno]

Non fa assolutamente nulla, flash e javascript funzionano, Linux non blocca nulla su quella pagina, Web Developer mi avvisa che qualcosa non va quando provo a fare lo scroll e non mi scrive nulla nella home.

Brutto bug, ma mi sembra ci si possa difendere facilmente, probabilmente basta Web Developer ad avvisare, non so perchè non mi ha scritto nulla...

[luca]

io non ho istallato firefox, ma utilizzo Mozilla, e purtroppo il risultato non cambia, ma è bastato,come suggerito nell'articolo, disabilitare java e contenuto ext nella config del firewall per risolvere il problema.....

[Stefano]

Io come,tanti altri, pur avendo Firefox 1.0 e Javascript attivato, ho fatto il test e arrivando sulla pagina in latino non me la scrolla nemmemo...e non succede nula. Mi sembra un po' casuale come "Falla di Firefox" a cui dare così rilievo.