Il report di IBM non lascia dubbi, purtroppo Firefox 3.5.1 continua ad essere affetto da un “buffer overflow” che consentirebbe l’esecuzione di codice malevolo:
Mozilla Firefox è vulnerabile ad un “buffer overflow stack-based“. Inviando una stringa di dati unicode molto lunga al metodo document.write un attaccante remoto potrebbe bucare un buffer ed eseguire codice arbitrario su un sistema o provocare un crash dell’applicativo.
In realtà volendo dirla tutta non è solo IBM a confermare la cosa ma anche SecurityFocus e il National Vulnerability Database. Addirittura SecurityFocus fornisce anche del codice di esempio che mostra come riprodurre l’attacco. Comun denominatore è che tutti gli enti classificano la falla come “critica“.
Ora, forse il problema più grave è proprio dovuto al fatto che Firefox 3.5.1 era stato rilasciato di corsa qualche giorno fa proprio per correggere questa stessa falla. La correzione a quanto sembra non è stata completa e bisognerà lavorarci ancora.
Qual è la causa? Sembra che il componente software nell’occhio del ciclone sia il recentissimo compilatore JavaScript JIT (Just-in-Time) di TraceMonkey introdotto con Firefox 3.5.0. Grazie a questo engine è possibile compilare parte del codice JavaScript, migliorando di fatto le prestazioni del codice dinamico. In pratica le funzioni JavaScript della pagina Web vengono compilate ed eseguite direttamente come codice binario nativo, limitando l’intervento e il controllo dell’interprete Javascript.
Qual è la soluzione? La Mozilla Foundation sembra non aver diramato ancora nessun comunicato ufficiale, e quindi nessuna soluzione al problema. Stando a quanto dice H-OnLine l’unica cosa ad ora fattibile sarebbe disabilitare l’intero supporto JavaScript. Soluzione drastica ma almeno mette al sicuro il vostro PC.
ALT! Il comunicato ufficiale c’è, è questo: http://blog.mozilla.com/security/2009/07/19/milw0rm-9158-stack-overflow-crash-not-exploitable-cve-2009-2479/
Non si tratta né di un buffer overflow ne di un exploit.
Please, informarsi di più prima di fare certe affermazioni
Comunque, I like OneOpenSource!
di Giuliano - 20 luglio 2009 - 10:18
@Giuliano: Ciao e grazie per la precisazione.
Non è stata mia intenzione omettere la posizione ufficiale della Mozilla Foundation.
Quando ho scritto il post ho fatto ricerche in proposito ma non era emerso nulla.
Ancora grazie a te ed agli altri di Mozilla Italia per la fedeltà al blog.
di Gianluca Masone - 20 luglio 2009 - 11:14
Grazie a te Gianluca!
di Giuliano - 20 luglio 2009 - 11:20
Quindi, se ho capito bene, non si tratta di una vulnerabilità sfruttabile appieno da un malintenzionato.
di Jacopo - 20 luglio 2009 - 15:27
Se ho capito bene al momento l’unica misura è quella di disabilitare completamente Java Script, è davvero un po drastica la soluzione ma secondo voi vale la pena navigare in quel modo, possibile la falla è così grave come si intuisce tra le righe?
di antonio manuel - 21 luglio 2009 - 08:01