Hacking Browsers - Setup and Debug JavaScriptCore / WebKit
Hanno rilasciato una versione 3.0.8 aggiornata del loro browser di punta venerdì pomeriggio, solo due giorni dopo che il codice è stato inviato al Milw0rm
Questo aggiornamento risolve anche un bug divulgato alla società di ricerche TippingPoint la scorsa settimana da un hacker che lo ha utilizzato per vincere il concorso Pwn2Own della compagnia alla conferenza di sicurezza CanSecWest. E 'stato uno dei tre utilizzati da un hacker tedesco, che ha dato solo il suo nome, Nils, per richiedere $ 15.000 in contanti e un laptop come premio.
[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]Gli sviluppatori di Mozilla hanno descritto il rilascio come un "aggiornamento di sicurezza firedrill ad alta priorità" grazie al codice di attacco, noto come exploit "zero day". Il lavoro rapido è stato ripagato, come si aspettavano che fosse necessario fino all'inizio della prossima settimana per completare i test.
Mozilla dice che entrambi i bug sono "critici".
Il difetto di Nils ha sfruttato un bug in una routine di Firefox nota come metodo _moveToEdgeShift. L'ha usato per hackerare il browser in esecuzione su Mac OS X, ma potrebbe influire anche su altre piattaforme.
L'altro difetto, che ha a che fare con il modo in cui il browser elabora i fogli di stile XSL (Extensible Stylesheet Language), influisce su Firefox tutti i sistemi operativi e influenza anche l'applicazione Internet Seamonkey.
Entrambi questi bug potrebbero essere attivati ingannando una vittima nella visualizzazione di una pagina Web codificata maliziosamente, che consentirebbe a un utente malintenzionato di installare software non autorizzato sul sistema di una vittima. Questo tipo di malware basato sul Web, chiamato download drive-by, è diventato sempre più popolare negli ultimi anni.
Il prossimo aggiornamento di Firefox, 3.0.9, è previsto per il rilascio il 21 aprile.
Bug e correzioni: una manciata di correzioni dei bug del browser
Inoltre: Microsoft rilascia una patch di PowerPoint e una correzione relativa a QuickTime e Mac OS e Adobe Reader ricevono aggiornamenti.
Patch di martedì risolve i buchi a zero giorni, ne esce un altro
Il ciclo di patch mensile di Microsoft chiude due difetti di sottomissione che coinvolgono ActiveX e File QuickTime e altri buchi di sicurezza.
Bug di Juniper Bug di crash del router
Juniper ha patchato un bug grave che potrebbe essere sfruttato per bloccare i suoi router.