Archivio » 2005 » gennaio » lunedì 3 »

Sicurezza: Mozilla da aggiornare

Scritto da Guido Sintoni

Il problema è nell’errata gestione del protocollo Nntp per la lettura di news. Firefox e Thunderbird immuni. Internet: tutte le notizieVirus e bug: tutte le notizie

Per gli utenti Mozilla, il popolare browser open source derivato da Netscape da cui sono derivati i progetti Firefox e Thunderbird, è necessario mettere mano alla propria connessione Internet e scaricare la versione 1.7.5, disponibile dalla fine di dicembre (qui per l’applicazione e qui per il langpack italiano).
Sicuri e aperti! Il problema risiede nell’errata gestione del protocollo Nntp (Net News Transfer Protocol, il componente alla base del browser per newsgroup incorporato in Mozilla Mail), che espone al rischio di sovrascrittura dei segmenti dinamici della memoria e alla conseguente esecuzione arbitraria di codice.

Nello specifico, Mozilla 1.7.5 corregge la funzione “MSG_UnEscapeSearchUrl()” nel sorgente “nsNNTPProtocol.cpp”, che gestisce Uri Nntp. È infatti possibile che, raggiungendo un sito web malizioso, una Uri “news://” artatamente creata provochi l’heap overflow di cui sopra.
Autrice della scoperta è la polacca iSEC Security Research, che ha rilasciato un bollettino al riguardo, subito ripreso dalla danese Secunia, che definisce la vulnerabilità “alytamente critica”.
Firefox 1.0, che è basato sul codice di Mozilla 1.7.5 e non prevede un newsreader, è immune al bug di Nntp, così come il client di posta elettronica e newsreader Thunderbird 1.0.
Mozilla 1.7.5 è l’ultima fatica del 2004 di Mozilla Foundation: si tratta di una release di mantenimento orientata alla pulizia del codice e al bugfixing, le cui principali novità - oltre alla correzione del bug di Nntp sopra descritto - sono il supporto a NPRuntime (un’estensione al sistema di gestione dei plugin standard) e una migliorata compatibilità con pagine Web create per Microsoft Internet Explorer.