|
 |
diumenge, 11 / setembre / 2005 |
[Secunia] Netscape URL Domain Name Buffer Overflow. Una vulnerabilitat que afecta a Netscape 8.0.3.3 i 7.2, així com també a Firefox 1.0.6 i 1.5 beta 1
Overview:
A buffer overflow vulnerability exists within Firefox version 1.0.6 and all other prior versions which allows for an attacker to remotely execute arbitrary code on a affected host.
Technical Details:
The problem seems to be when a hostname which has all dashes causes the NormalizeIDN call in nsStandardURL::BuildNormalizedSpec to return true, but is sets encHost to an empty string. Meaning, Firefox appends 0 to approxLen and then appends the long string of dashes to the buffer instead. The following HTML code below will reproduce this issue:
<A HREF=https:--------------------------------------------- >
Els efectes d'aquesta vulnerabilitat poden anar des d'atacs de denegació de servei a l'execució de codi als sistemes vulnerables
|
21:59 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
Entrant a una pàgina web amb l'Internet Explorer s'obre una finestra en segon pla... que, via JavaScript, obre aquest avís:
Transcripció:
IMPORTANTE: Los errores en el registro o en el sistema de archivos podrían hacer que su computadora se bloquee o funcione de manera errática o impredecible. La reparación de estos errores mejorará el rendimiento de su sistema y evitará la pérdida de datos.
¿Desea instalar WinFixer 2005 para analizar su computadora gratuitamente? (Recomendado)
No cal ni dir que aquest WinFixer és força sospitós i segurament és una font de programes espies.
|
14:44 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
La retenció de dades no és la solució!
Els ministres europeus de Justícia i la Comissió Europea volen emmagatzemar tot el tràfic telefònic i d'Internet de 450 milions d'europeus. Si et preocupa un pla així, et demanem que signis aquesta petició.
Què hi ha de dolent en la retenció de dades? La proposta de retenir les dades de tràfic revelarà qui ha estat trucant o enviant correus a qui, quins llocs web visita la gent i fins i tot on han anat amb els seus telèfons mòbils. S'ordenarà a les companyies telefòniques i als proveïdors d'Internet que emmagatzemin totes les dades de tràfic dels seus clients. La policia i les agències d'intel·ligència d'Europa tindran garantit l'accés a aquestes dades. Diverses propostes en competició actualment a Brussel·les parlen de períodes de retenció d'entre sis mesos a quatre anys.
La retenció de dades és una tècnica invasiva que interfereix amb les vides privades de 450 milions d'europeus. La retenció de dades és una política que expandeix les capacitats de vigilància d'una forma sense precedents. De forma simultània revoca moltes de les garanties dels instruments europeus en favor dels drets humans, com les directives de protecció de dades i la Convenció Europea dels Drets Humans.
La retenció de dades implica que els governs poden interferir amb la teva vida privada i les comunicacions privades sense importar si ets o no sospitós d'un delicte.
Petició
Considero que:
- La retenció de dades és una eina invasiva que interfereix en les vides privades de tots;
- La retenció de dades personals de tots és una pràctica il·legal segons l'Article 8 de la Convenció Europea de Drets Humans, ja que és desproporcionada;
- La seguretat aconseguida amb la retenció pot ser il·lusòria, ja que és possible que les dades de tràfics associats a una persona estiguin en realitat vinculats a una activitat portada a terme per una altra, o a un procés no relacionat amb les activitats d'aquest usuari;
- Els mitjans emprats per a aplicar aquesta política no són legítims, ja que alguns Estats membres que no han assolit aprovar aquesta política en els seus propis Parlaments estan tractant ara d'aconseguir la seva aprovació a través de la UE en nom de l'harmonització de polítiques europees i la cooperació internacional.
Sol·licito a la Comissió Europea i al Parlament Europeu que examinin la proposta de retenció de dades seriosament i que defensin la protecció dels drets humans, inclosa la privadesa, en aquests temps difícils.
Podeu signar aquesta petició a la web de la campanya. També hi trobareu informació actualitzada a la Wiki.
|
12:14 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
Nova vulnerabilitat al suport IDN de Firefox i Mozilla:
On September 6 a security vulnerability affecting all versions of Mozilla Firefox and the Mozilla Suite was reported to Mozilla by Tom Ferris and on September 8th was publicly disclosed.
On September 9, the Mozilla team released a configuration change which, as a temporary measure to work around this problem, disables IDN in the browser. IDN functionality will be restored in a future product update. The fix is either a manual configuration change or a small download which will make this configuration change for the user.
Més detalls a https://addons.mozilla.org/messages/307259.html.
|
11:14 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
© Copyright 2003-2005 Xavier Caballe.  . Si no s'indica expressament el contrari, el material publicat en aquest weblog es distribueix d'acord amb la llicència Creative Commons. El contingut és responsabilitat única i exclusivament del seu autor i no té cap relació amb les seves activitats professionals.
|
 |
 |
 |
 |
Contingut actualitzat
Categories
Darrers comentaris
Arxiu
Contingut antic
(ja no s'actualitza)
Versions anteriors
d'aquesta pàgina
|
 |
 |
 |
 |
|
