Commenti

1. [1]

   Il fatto che su Mac OS X e su GNU/Linux non ci siano problemi è dovuto non è dovuto alla bontà del sistema operativo bensì al fatto che Firefox non registra firefoxurl:// quindi quel “avevate dubbi al riguardo?” è quantomeno improprio.
   Ad ogni modo bisogna vedere cosa succede in ambiente Windows Vista, sono convinto che IL non lasciano passare queste cose.

   di sirus - 11 Luglio 2007 - 15:56

2. [2]

   sarà anche come dici, sirus, ma guarda caso capitano sempre tutte a win :)

   sfortuna??? lol

   >>bisogna vedere cosa succede in ambiente Windows Vista, sono convinto che IL non lasciano passare queste cose…

   vi ammiro davvero per la fiducia incondizionata che riponete in win ogni volta che esce un nuovo os :)

   purtroppo vista non ho ancora avuto modo di vederlo seriamente, quindi non mi esprimo…

   ciaociao

   di Fede - 12 Luglio 2007 - 01:51

3. [3]

   Per la cronaca sono un utente Mac OS X principalmente quindi sono tutto tranne che di parte.
   Tuttavia mi sembra cristallino che il problema sia la gestione del URI sopracitato da parte di Firefox (che non effettua nessun controllo sui parametri che gi vengono passati, cosa che ci viene insegnata nel primo corso di programmazione in università) e non vedo come il problema possa essere considerato il vettore.
   Per quanto riguarda il tuo scetticismo su Windows Vista non ne vedo il motivo. Windows Vista è un passo avanti notevole rispetto a Windows XP e predecessori, basti pensare che la falla più pericolosa che sia stata registrata dalla sua nascita (quella sui cursori animati) non generava problemi facendo uso di una configurazione di default di Windows Vista privo di ogni antivirus; non si tratta quindi di fiducia incondizionata bensì di dati di fatto.
   Parlavo di IL nel mio post precedente perché grazie ad IL Internet Explorer si trova in una sandbox con permessi di uscita pressoché nulli se non per accedere alla cartella di download dell’utente attuale; quindi nello sfruttare Internet Explorer 7.0 come vettore in Windows Vista non mi stupirei se IL bloccasse la richiesta ed attivasse UAC chiedendo i permessi di esecuzione di Firefox all’utente.

   di sirus - 12 Luglio 2007 - 09:08

4. [4]

   infatti windows vista è piu avanti di win xp ma andiamo a vedere quanta ram mangnia quella cosa li

   di mandela900 - 12 Luglio 2007 - 10:26

5. [5]

   Magari evitiamo di parlare di Windows su questo blog: qualcuno (io) potrebbe anche offendersi.
   Detto questo qualche breve update:

   * Anche la prima versione di Safari 3 per Windows aveva lo stesso problema e passava a Firefox quello che gli arrivava tramite FirefoxURL://. Apple ha corretto il problema, identificandolo come proprio;

   * Quelli di Mozilla hanno detto “È colpa di IE che avvia tutto quello che si trova senza controllare”. In parte condivisibile, perché tutti i browser sono scettici quando c’è un eseguibile da scaricare e non vedo perché non dovrebbero farlo anche sulle stringhe e gli URL.

   * Quelli di Microsoft hanno detto “È colpa di FF che avvia tutto quello che uno gli dice”. Anche questo è, almeno in parte, condivisibile solo che un browser DEVE fare esattamente quello che gli dico. L’errore capita quando un browser, o un altro programma, fa qualcosa che qualcun altro gli dice.

   di Michele C. Soccio - 12 Luglio 2007 - 13:16

6. [6]

   Se non vado errato anche sul client di posta The bat esiste una falla simile che ti fa addirittura cancellare file di sistema… Ma rispetto a parecchio software targato microsoft direi che Firefox è il paradiso …..

   di www.crontab.it - 12 Luglio 2007 - 15:27

7. [7]

   C’è veramente una sottile linea che spinge la colpa da una parte piuttosto che dall’altra.

   Nel testo del PoC leggo :”By using the firefoxurl URI, it is possible to use Internet Explorer (or other windows based browsers)”

   Per me “firefoxurl” viene vista come interfaccia esterna, io la invoco così com’è; è compito del gestore o dell’applicativo “Firefox” validare l’input

   Non concordo con l’affermazione dei developers di Mozilla perchè l’URI è eseguibile anche da menù “Esegui” come ad esempio: “firefoxurl:test|”%20-CreateProfile%20Xssniper” . Questo bug però da menù esegui non è gestibile perchè parliamo anche di linguaggio Javascript

   Vogliamo farlo sempre gestire a IE?!? :D
   Comunque per la cronaca io uso Firefox e uso il meno possibile IE

   di Davide Denicolo - 15 Luglio 2007 - 13:18

8. [8]

   Il baco, probabilmente, trova pezze d’appoggio in altri bachi del s.o. in cui l’hanno scoperto.
   Nessuno se n’è accorto prima di mettere sul mercato il proprio browser….
   Nessuno ha compensato con controlli supplementari…..
   Nessuno vuole assumersi la resposabilità di questa figuraccia…….

   di Ratamusa - 16 Luglio 2007 - 10:54

9. [9]

   Il bollettino ufficiale del bug (http://www.securityfocus.com/archive/1/473276) afferma che il bug è di Internet Explorer che esegue qualsiasi url registrata SENZA MAI preoccuparsi di verificare i parametri e codificarli in base alle elementari norme degli URL(vedi ad esempio i quote ” ).
   Come ESEMPIO viene riportato l’url FirefoxURL, per il semplice motivo che firefox è molto potente e permette l’esecuzione di javascript passati a riga di comando pr una maggiore customizzazione dell’utente.

   Paradossalmente questa feature di FireFox unita ad un baco di Explorer, viene scambiata per un baco di Ffox…
   Ma, ripeto, nel bolletino l’url di firefox viene dato solo come esempio pratico per rendere operativo un baco di explorer ^^

   di Curioso - 17 Luglio 2007 - 13:44

Inserisci il tuo commento

Nome

Indirizzo e-mail (non verrà pubblicato)

Sito Web

Commento

Lasciare vuoto questo campo!!!

Avvisami quando qualcuno risponde a questa discussione.