9 Dic 2005

in Mozilla, News

Primo Bug per Firefox 1.5?

Forse si, forse no!

Nei siti di Packetstorm Security e del SANS Institute è stato annunciato un bug di Firefox 1.5 che provoca il crash dello stesso browser appena avviato.
Per fortuna in questa pagina troviamo anche la soluzione.

Cerchiamo di capire di cosa si tratta e come risolvere il problema.

Il problema si nasconde nel modo in cui Firefox gestisce i titoli delle pagine che memorizza nel file history.dat, cioè la cronologia, le ultime pagine visitate. In pratica Firefox gestisce male i titoli dei siti contenuti nella cronologia. Se questi titoli sono troppo lunghi, al riavvio Firefox va subito in crash. Tecnicamente si tratta di un DOS. Firefox andando subito in crash non si avvia.

A dire il vero in rete si trovano commenti di persone che non sono riusciti a ricreare il problema nonostante varie prove, ecco perché all’inizio ho detto forse si, forse no. Altri utenti invece hanno addirittura ipotizzato che con tale exploit sia possibile eseguire codice arbitrario nel computer dell’utente.

Su Packet Storm è presente una breve descrizione e il codice per ricreare l’exploit.

Comunque se incappate nel problema le varie soluzioni, come ci suggerisce il SANS Institute, sono queste:

  • Impostare Firefox in modo che non conservi la cronologia dei siti visitati: andate nel menù tramite
    Edit -> Preferences -> Privacy -> History
    cliccare su Clear Browsing History Now ed impostare a zero il numero di giorni per il quale Firefox ricorda le pagine visitate.
    Tale procedimento si riferisce alla versione 1.5 in inglese che sto usando.
  • Dopo aver chiuso Firefox, modificare il file prefs.js aggiungendo questa riga:
    user_pref("capability.policy.default.HTMLDocument.title.set","noAccess");
    Questa riga si può aggiungere in fondo al file. Una volta riavviato Firefox riordinerà il file alfabeticamente.
  • Trovare e cancellate manualmente il file history.dat, nel quale viene memorizzato il titolo il codice incriminato, e riavviare Firefox; Firefox ricreerà automaticamente il file.
  • Usare l’estensione Noscript.

Purtroppo l’estensione Noscript al momento in cui scrivo è annunciata ma non disponibile, credo sia questione di ore e verrà rilasciata.

Che fare quindi? Evitare di usare Firefox?
Certo che no, anzi. Il fatto stesso che in rete sia comparsa tutta la descrizione con le possibili soluzioni è un fatto positivo, ed è il bello del software opensource e della sicurezza full disclosure.
E questo fatto dovrebbe invogliarci a scaricare la versione aggiornata di Firefox ed usarla come browser predefinito.



TrackBack URI

Lascia un commento

XHTML: Tu puoi usare questi tag: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

« Vecchi articoli Nuovi articoli »


Get Firefox! Linux GraphoByte
WordPress XHTML CSS W3Csites.com No al Trusting Computing