Tips & Tricks di sicurezza informatica
Domenica 15 Luglio 2007, 14:50 in Browser, Exploit, Open Source, Sicurezza, Vulnerabilità di Davide Denicolo 
Sembrerebbe proprio che Firefox non voglia andare d'accordo con Internet Explorer; è da pochi giorni la scoperta di una falla nel software del panda rosso che permetterebbe l'esecuzione in locale di codice arbitrario.
L' advisory ufficiale presente su Secunia mette in risalto la cattiva gestione di un URI handler che Firefox installerebbe nel registro di sistema di windows.
L' handler "firefoxurl://" utilizzato senza corretta validazione, permetterebbe a Firefox di eseguire del codice javascript nocivo.
La citazione fatta da molti secondo cui Internet Explorer permetterebbe questa esecuzione è superflua; la registrazione dell'handler infatti, avviene a livello di sistema operativo, quindi l'invocazione dell' handler è permessa anche a livello di sistema operativo anche se per questo specifico bug, occorre l' interpretazione di codice Javascript. Di conseguenza qualsiasi browser installato su Windows che permetta l' interazione con gli handler del sistema operativo, potrà generare questo problema.
Una serie di dimostrazioni potrete provarle a questo link.
La vulnerabilità è confermata in Firefox 2.0.0.4 installato su Windows XP SP2 patchato.
In attesa che Firefox patchi il bug, potremmo usare un workaround, disabilitando l' handler in questione. Per fare ciò occorre cancellare dal registro di Windows la chiave HKEY_CLASSES_ROOT\FirefoxURL.
@Davide - Exploit continua a stupirmi anche per questi particolari! Deh, il panda rosso... chi l'avrebbe mai detto :-)
Alessia qui puoi trovare anche una sua foto
http://www.mozilla.org/projects/firefox/firefox-name-faq.html
"A "Firefox" is another name for the red panda."
Sembra strano ma Firefox è un Panda Rosso
:D
Guarda che e' una volpe (di fuoco), non un panda! :D
Blogosfere è il più grande network italiano di blog professionali d'informazione.
Qui puoi trovare le ultime news su cronaca, politica, economia, cultura, scienze, tecnologia, spettacoli, moda, sport, motori, viaggi e cucina prodotte in perfetto stile multimediale.
Blogosfere Srl socio unico
P. IVA 05221970964
Sede legale: Via Pordenone 8 20132 Milano
REA n. 1804860
Privacy
Condizioni di utilizzo
Copyright © 2005-2012 Blogosfere
Quest'opera è pubblicata
con licenza Creative Commons
Attribution - Non commercial - No derivates
Per informazioni pubblicitarie e progetti speciali su Blogosfere (media brand del gruppo Populis) contattare la concessionaria pubblicitaria del gruppo, Populis Engage
alle 16:49
RNiK
IMHO il miglior workaround consiste nel NON utilizzare IE.