[NEWS] Mozilla Firefox IDN Spoofing Security Issue

c.m.g · 03-03-2009, 13:11

02 marzo 2009

La società di sicurezza Secunia riporta un advisory (SA34096) in cui si spiega che è stata trovata una vulnerabilità in Mozilla Firefox, giudicata dalla stessa come Less critical, che potrebbe essere sfruttata da malintenzionati per condurre attacchi di tipo spoofing.

Il problema risiede nella gestione del supporto IDN (International Domain Name), il quale può essere sfruttato per spoofare un URL attraverso, ad esempio, un dominio ".cn" contenente alcuni caratteri internazionali che assomigliano generalmente a quelli comunemente usati (esempio "/") nei sottodomini.

La falla è correlata a questa:
SA14163

La vulnerabilità è stata confermata nella versione 3.0.6. Altre versioni potrebbero essere affette dal medesimo bug.

Software fallato:
Mozilla Firefox 3.x

Soluzione:
Al momento non esistono nuove versioni che risolvono il problema rilasciate dal produttore, come sistema tampone, si raccomanda di disabilitare il supporto IDN in "about:config".

Falla scoperta da:
Additional vector provided by Moxie Marlinspike.

Advisory d'origine:
https://www.blackhat.com/presentatio...eating-SSL.pdf

Altre referenze:
SA14163:
http://secunia.com/advisories/14163/

Fonte: Secunia

c.m.g · 03-03-2009, 15:41

Mozilla Firefox Multiple Unspecified Vulnerabilities su security focus

c.m.g · 05-03-2009, 07:44

è stata rilasciata la versione di firefox (v. 3.07) che risolve il problema, la potete scaricare da questa pagina.

03-03-2009, 13:11	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22111	[NEWS] Mozilla Firefox IDN Spoofing Security Issue 02 marzo 2009 La società di sicurezza Secunia riporta un advisory (SA34096) in cui si spiega che è stata trovata una vulnerabilità in Mozilla Firefox, giudicata dalla stessa come Less critical, che potrebbe essere sfruttata da malintenzionati per condurre attacchi di tipo spoofing. Il problema risiede nella gestione del supporto IDN (International Domain Name), il quale può essere sfruttato per spoofare un URL attraverso, ad esempio, un dominio ".cn" contenente alcuni caratteri internazionali che assomigliano generalmente a quelli comunemente usati (esempio "/") nei sottodomini. La falla è correlata a questa: SA14163 La vulnerabilità è stata confermata nella versione 3.0.6. Altre versioni potrebbero essere affette dal medesimo bug. Software fallato: Mozilla Firefox 3.x Soluzione: Al momento non esistono nuove versioni che risolvono il problema rilasciate dal produttore, come sistema tampone, si raccomanda di disabilitare il supporto IDN in "about:config". Falla scoperta da: Additional vector provided by Moxie Marlinspike. Advisory d'origine: https://www.blackhat.com/presentatio...eating-SSL.pdf Altre referenze: SA14163: http://secunia.com/advisories/14163/ Fonte: Secunia __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 03-03-2009 alle 13:14.

03-03-2009, 15:41	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22111	Mozilla Firefox Multiple Unspecified Vulnerabilities su security focus __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

05-03-2009, 07:44	#3
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22111	è stata rilasciata la versione di firefox (v. 3.07) che risolve il problema, la potete scaricare da questa pagina. __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email