PDA

Visualizza versione completa : IE/FFox guerra al bug


Flying Luka
13-09-2005, 12.10.49
<p align="center"><img src="http://img199.exs.cx/img199/9131/feuerfuchs5tr.th.jpg" /></p><p align="center" /><p align="justify"><font face="verdana,arial,helvetica,sans-serif" size="2">Proprio mentre debutta la beta di Firefox 1.5, un nuovo bug del_popolare browser</font><font face="verdana,arial,helvetica,sans-serif" size="2">_Web_open source</font><font face="verdana,arial,helvetica,sans-serif" size="2">_rischia di turbare milioni di utenti. Tom Ferris di Security Protocols ha infatti scoperto un bug che espone al rischio di crash tutte le versione di Firefox, anche quelle aggiornate.</font></p><p align="justify"><font face="verdana,arial,helvetica,sans-serif" size="2">Il problema risiede ancora una volta nei nomi di dominio internazionali (IDN)</font><font face="verdana,arial,helvetica,sans-serif" size="2"> che a febbraio hanno messe a rischio</font><font face="verdana,arial,helvetica,sans-serif" size="2"> tutti i browser Web tranne Internet Explorer</font><font face="verdana,arial,helvetica,sans-serif" size="2">: <strong>se sono troppo lunghi o contengono caratteri particolari</strong>, sono in grado di provocare la chiusura del browser.</font></p><p align="justify"><font face="verdana,arial,helvetica,sans-serif"><font size="2">Ferris non ha mancato di evidenziarlo con una <em>proof of concept</em>: un pezzo di codice che serve per dimostrare l'esistenza della vulnerabilità. Così facendo, ha seguito la strada dei due pesi e delle due misure: per un bug scoperto in Explorer</font></font><font face="verdana,arial,helvetica,sans-serif" size="2"> poche settimane fa, il ricercatore ha infatti deciso di pubblicare maggiori dettagli solo dopo che Microsoft avrà corretto il problema, rendendo noto solo uno screenshot dell'errore provocato. </font></p><p align="justify"><font face="verdana,arial,helvetica,sans-serif" size="2">Mike Schroepfer, uno dei responsabili dello sviluppo in seno a Mozilla Foundation</font><font face="verdana,arial,helvetica,sans-serif" size="2">, ha non a caso dichiarato: &quot;Prima di rendere pubblico un bug, si dovrebbe fornire una soluzione per gli utenti&quot;. Detto e fatto: La <em>Fondazione</em> ha rilasciato in circa 24 ore una soluzione temporanea al problema, che passa per un cambio di configurazione manuale o effettuata da una patch</font><font face="verdana,arial,helvetica,sans-serif" size="2">.Tutto risolto, quindi? Per ora sì, ma si tratta di un rimedio temporaneo. </font></p><p align="justify"><font face="verdana,arial,helvetica,sans-serif" size="2">Ferris, con uno zelo che ha già suscitato più di una maliziosa illazione, non ha infatti tardato a sottolinearlo: &quot;Perché Mozilla Foundation non rilascia una vera soluzione al problema? [...] Penso che abbiano affrontato il problema in maniera molto approssimativa&quot;. <em>Noblesse oblige</em>...</font></p><br><br><a href="../../framer.php?url=http://www.mytech.it/news/articolo/idA028001063392.art" target="_blank"> Fonte </a><br><br><br><br>

Third Bill
13-09-2005, 13.32.46
Beh, se il guaio è solo che si chiude il browser.... Certo meglio questo, che far entrare un worms o altra spazzatura...

TheGynius
13-09-2005, 14.23.06
A sottolineare la maliziosità di Ferris è anche la mancanza di chiarezza comparata. Il problema è nella gestione degli IDN in Firefox. La soluzione temporanea di Mozilla è di disabilitarlo.
Con che coraggio criticare questa risposta (peraltro velocissima) quando IDN in internet Explorer non è proprio supportato?
Intanto Microsoft ha posticipato il rilascio delle patch di IE...

Cimmo
13-09-2005, 16.54.08
Originariamente inviato da Third Bill
Beh, se il guaio è solo che si chiude il browser.... Certo meglio questo, che far entrare un worms o altra spazzatura...
No la news e' imprecisa, c'e' anche la possibilita' di esecuzione di codice arbitrario.
Secunia ha valutato il bug "Highly Critical"

http://secunia.com/advisories/16764/

Giaky
13-09-2005, 22.46.47
Dove si trova il rimedio?

Cimmo
13-09-2005, 23.41.41
Originariamente inviato da Giaky
Dove si trova il rimedio?
Dal mio link ;)

Solution:
The vendor recommend setting the preference "network.enableIDN" to false.

This can be done in the "prefs.js" file or using "about:config".

harman
14-09-2005, 10.45.00
C'è la patch risolutiva del problema
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.6/patches/

Thor
14-09-2005, 22.08.41
Originariamente inviato da harman
C'è la patch risolutiva del problema
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.6/patches/ (Y) velocissimi