File a rischio con Netscape e Mozilla

Una società di sicurezza israeliana ha scoperto una grave falla di Netscape e Mozilla che permetterebbe ad un cracker di leggere file dal PC dell'utente

Israele - I due cuginetti Netscape e Mozilla soffrirebbero di una "voragine" nel proprio codice: una falla che, similmente a quella scoperta di recente in Internet Explorer - ma rispetto a questa ancora più grave - potrebbe consentire ad un aggressore di leggere qualunque file presente sul disco fisso di un utente.

Il buco, scoperto dalla società di sicurezza israeliana GreyMagic Software, riguarda tutte le versioni di Netscape a partire dalla 6.1 e tutte le versioni di Mozilla comprese fra la 0.9.7 e la 0.9.9. L'"origine del male" è l'oggetto XMLHttpRequest del componente XMLHTTP, che consente ad una pagina Web di inviare e ricevere dati in formato XML attraverso il protocollo HTTP.

Secondo quanto spiegato nel rapporto di sicurezza di GreyMagic, a causa di un non corretto controllo da parte di XMLHttpRequest sarebbe possibile confezionare una pagina Web in grado di redirigere una richiesta verso un file memorizzato sul disco dell'utente e di aggirare le impostazioni di sicurezza del browser. Rispetto al bug scoperto in Internet Explorer lo scorso gennaio, che consentiva di leggere solo i file di cui si conoscesse l'esatta locazione, la vulnerabilità che interessa Netscape e Mozilla appare ben più grave visto che consente ad un aggressore di elencare i file contenuti in una cartella del disco.
Sul sito di GreyMagic è possibile verificare, attraverso un piccolo test on-line, se il proprio browser è affetto dal problema.

La comunità di Mozilla ha promesso il rilascio di una patch a breve, con tutta probabilità entro la fine della settimana.

Nel suo bollettino GreyMagic ha poi voluto tirare le orecchie a Netscape per quanto riguarda il servizio di segnalazione bug, a suo dire inefficiente. L'azienda sostiene infatti di aver informato Netscape il 24 aprile attraverso un form sul Web che prometteva una risposta entro 5 giorni. Un arco di tempo in cui l'azienda israeliana sostiene di non aver ricevuto nessun riscontro: così, dopo 6 giorni, ha reso il bug di pubblico dominio.
TAG: privacy
112 Commenti alla Notizia File a rischio con Netscape e Mozilla
Ordina
  • Ma qualcuno si è reso conto che questa società ha trovato *una* falla in un programma a codice aperto? E che vogliamo dire della valanga di falle scoperte in Outlook che è closed-source? Immaginate quante non sono ancora scoperte!

    Meditate gente, meditate... e ai denigratori rispodo così: è dagli anni '40 che è noto un teorema (di Turing e prima di Godel, grandi logicisti) che dimostrano l'indimostrabilità dei predicati. In sonstanza: non si può scrivere un programma che dimostri la correttezza di un altro programma. Pertanto è *naturale* che i bug ci siano, sia in linux che in winzozz. Ma chi dà più garanzia dei due? Io una mia idea me la sono fatta.
    non+autenticato

  • Con la premessa che sono un sostenitore dell'Open Source...

    > è dagli anni '40 che è noto un
    > teorema (di Turing e prima di Godel, grandi
    > logicisti) che dimostrano l'indimostrabilità
    > dei predicati.

    Sbagliato. Sia il teorema di Godel (1931) che quello di Turing (1936) riguardano la decidibilità, cioè i procedimenti di risoluzione per via algoritmica, non i predicati in generale. Turing sostiene che il problema della decidibilità di un problema è un problema indecidibile (evitare le ripetizioni è quasi impossibile; ci provo ugualmente: una formulazione equivalente è

    E' impossibile stabilire per via algoritmica se un problema può essere o meno risolto per via algoritmica).

    Non afferma affatto che i predicati siano indimostrabili! Dice che potrebbero non esserlo per via algoritmica, ma niente dice su altri sistemi di dimostrazione (per assurdo, ad esempio, o per via grafica, o analitica).

    Godel poi è riuscito a dimostrare anche altro sulla completezza dei sistemi logici, ma in ogni modo ne' l'uno ne' l'altro hanno scritto teoremi che possono portare alla conclusione (a cui arrivi tu) che *necessariamente* un algoritmo (o predicato) debba contenere errori.

    E' semplicemente una estrapolazione (azzardata e errata) che fai tu: Turing e Godel dimostrano tutto, meno che quello che hai detto.

    Resta il fatto che sono daccordo con te: naturale che in qualsiasi software ci siano errori (errori umani, ovviamente) e che il numero esiguo di bug trovati, nonostante il software sia Open Source, sotto gli occhi di tutti, sia indice di buona qualità.

    In sonstanza: non si può
    > scrivere un programma che dimostri la
    > correttezza di un altro programma.

    Sbagliato. Non sostiene questo Turing.

    > è *naturale* che i bug ci siano, sia in
    > linux che in winzozz. Ma chi dà più garanzia
    > dei due? Io una mia idea me la sono fatta.
    non+autenticato
  • Ok, complimenti per la competenza e soprattutto non voglio non rispondo "per mettere una pezza a colore" su quello che ho detto prima. Semplicemente ho semplificato il discorso per renderlo fruibile a tutti.

    Non ho affermato che un programma deve necessariamente contenere un errore, ma considerata la classe dei programmi corretti, un programma corretto che decida l'appartenenza (correttezza) di un altro programma alla classe suddetta, non è definibile. Quello che volevo mettere in evidenza è che non si può pretendere di chiedere a nessuno di garantire l'assenza di bug e di effetti indesiderati in un programma, semplicemente perchè è impossibile farlo. Ovvio che poi un errore evidente e scopribilissimo (chi non si accorgerebbe di un errore p.e. di una divisione per una variabile di valore zero? Eppure sono errori che capitano, figuriamoci in classi complesse).

    Rimane comunque che è più facile trovare falle in codice open-source che non in soluzioni closed-source e che ciò deve essere preso come una ulteriore garanzia di sicurezza. E non espando il discorso portandolo sui cicli di produzione del sw open e sui tempi di rilascio delle patches. Nell'articolo ci si lamenta di 5 gg? E dei mesi della M$?

    Ciao e complimenti ancora.
    non+autenticato
  • > Semplicemente ho semplificato
    > il discorso per renderlo fruibile a tutti.

    Ok, spero di non essere apparso presuntuoso nell'entrare nel merito, non voleva essere la mia intenzione..

    > Non ho affermato che un programma deve
    > necessariamente contenere un errore, ma
    > considerata la classe dei programmi
    > corretti, un programma corretto che decida
    > l'appartenenza (correttezza) di un altro
    > programma alla classe suddetta, non è
    > definibile.

    Non capisco esattamente cosa intendi per "programma corretto".

    Voglio dire: abbiamo un enunciato X. Vogliamo sapere se è possibile stabilire se X è un enunciato vero o falso, e lo vogliamo fare per via algoritmica (quindi utilizzare un programma Y per risolverlo). Prima di scrivere Y , ci interessa sapere se vale la pena di scriverlo o se è semplicemente impossibile, perchè non esiste. Ecco, Turing dice che NON possiamo scrivere un programma Z che ci dica se il programma Y esiste o no.

    Se la definizione di "coretto" che dai tu è questa, hai perfettamente ragione.

    > Quello che volevo mettere in
    > evidenza è che non si può pretendere di
    > chiedere a nessuno di garantire l'assenza di
    > bug e di effetti indesiderati in un
    > programma, semplicemente perchè è
    > impossibile farlo.

    Qui non mi torna più. IMHO il problema è tutto un altro. Correttezza (=assenza di bug) ed esistenza di un algoritmo per la risoluzione di un problema sono due questioni differenti. Cioè, ammesso *e non concesso* (a causa di Turing) che un algoritmo esista per la risoluzione di un problema, esiste eccome un algoritmo che può verificare che il programma realizzato sia esente da bug (almeno in via teorica, chiaramente: va da se' che nessuno ha mai realizzato un programma simile...)

    > Ovvio che poi un errore
    > evidente e scopribilissimo (chi non si
    > accorgerebbe di un errore p.e. di una
    > divisione per una variabile di valore zero?
    > Eppure sono errori che capitano, figuriamoci
    > in classi complesse).

    Daccordissimo.

    > Rimane comunque che è più facile trovare
    > falle in codice open-source che non in
    > soluzioni closed-source e che ciò deve
    > essere preso come una ulteriore garanzia di
    > sicurezza.

    E' esattamente questo il nodo cruciale. Su questo sono daccordo con te: se un programma è corretto (entro margini "umanamente" accettabili) ed oltretutto è open source, è un grandissimo indice di garanzia di sicurezza.

    > E non espando il discorso
    > portandolo sui cicli di produzione del sw
    > open e sui tempi di rilascio delle patches.
    > Nell'articolo ci si lamenta di 5 gg? E dei
    > mesi della M$?

    Esattamente. I "profeti" dell'open source hanno sempre sostenuto che "molti occhi" che guardano il codice accelerano enormemente i tempi di debugging. E, come dici tu, oltretutto accelerano e facilitano anche l'individuazione di bug (il che, soprattutto nel primo periodo di vita di un programma, lo fa apparire come pieno strapieno di bug, a differenza di quelli closed source che fidano sulla strategia "occhio non vede, bug non esiste").

    > Ciao e complimenti ancora.

    Ma dai!Occhiolino
    non+autenticato

  • - Scritto da: JoyTempest
    > Meditate gente, meditate... e ai denigratori
    > rispodo così: è dagli anni '40 che è noto un
    > teorema (di Turing e prima di Godel, grandi
    > logicisti) che dimostrano l'indimostrabilità
    > dei predicati. In sonstanza: non si può
    > scrivere un programma che dimostri la
    > correttezza di un altro programma.
    Oramai, al povero Kurt Godel è stato fatto dire di tutto: lo hanno usato, suo malgrado, per prove dell'esistenza e non-esistenza di Dio (sempre basate sui teoremi di incompletezza del 1931/32, si noti, non sulla tarda prova ontologica prodotta in età senile), brandito dalla newage come prova dell'incongruenza delle scienze esatte (!) ed altre grosse amenità da stupidario, incluse due più godibili e curiose "dimostrazioni" letterarie, formato mattone, sulla possibilità (Hofstadter) e, ovviamente, sulla impossibilità (Penrose) di avere applicazioni AI ad immagine e somiglianza dell'uomo. Insomma, uno dei teoremi più citati (a sproposito) e meno capiti della storia dell'umanità... Sorride

    In realtà, esiste un noto teorema per la confutazione (e dunque per la validazione) automatica di proposizioni e teoremi all'interno di un sistema assiomatico: il teorema di Herbrand, utilizzato, ad esempio, nel motore logico del Prolog ed in altri esperimenti di AI, nato nella branca della logica matematica denominata teoria delle dimostrazione. A fortiori, quindi, è assolutamente falso e fuorviante parlare di "indimostrabilità dei predicati".

    L'argomento era già stato affrontato dai Bourbakisti negli anni di attività del gruppo, ed era stato prodotto anche un divertente progetto di articolo dal titolo "Sull'impossibilità di dimostrare l'impossibilità di una dimostrazione", e rimane tuttora vivo e vegeto nell'informatica teorica, con le varie ipotesi in merito alla classe dei problemi NP-completi.

    Tutto ciò, però, ha a che vedere solamente con la esistenza, la completezza e la consistenza di un algoritmo; non ha niente a che fare con i banali errori implementativi, di trascrizione, di codifica, di sintassi del linguaggio prescelto.

    In altri termini, dato un algoritmo consistente, completo, convergente (ovvero, che termina in un tempo finito portando alla soluzione), posso verificarlo formalmente e logicamente con appositi, potentissimi ed infallibili strumenti (linguaggi formali e descrittivi: Z, SCM, logiche temporali, ed anche Abel, Verilog, e quant'altro, fino alle constraint extensions di UML), ma ciò NON mi dà alcuna garanzia sulle qualità intrinseche dell'implementazione. Il che è ovvio e banale, se ci si pensa un attimo.

    Questo per un motivo semplicissimo: esistono strumenti per il controllo formale dell'implementazione, dal LINT ai compilatori veri e propri, che controllano la SINTASSI del linguaggio e consentono di eliminare "early errors", ovvero errori perlopiù banali, che provocano errori di compilazione (e poco oltre, per lint: dangling reference, scope, etc.).
    Ma occorre un cervello per comprendere la SEMANTICA del sorgente, ovvero per capire se quanto scritto (correttamente) corrisponde NEL SIGNIFICATO all'operazione desiderata, o se invece costituisce un errore. A questo proposito, il design by contract del grande Bertrand Meyer costituisce un'ottima pratica, anche se qualche assert non è sufficiente a risolvere ogni problema: di nuovo, tale pratica è affidata a chi scrive, e dunque soggetta anch'essa ad errore umano. Con quest'ultimo spunto sulle conseguenze della ricorsività dell'errore nei formalismi nati per il controllo degli errori, ti saluto...

    PS: un matematico che si occupa di logica matematica si definisce, semplicemente, logico. Non credo che "logicista" esista in italiano... Sorride
    non+autenticato
  • Mozilla 0.9.7 - Mozilla/5.0 (Windows; U; Win98; en-US; rv:0.9.7) Gecko/20011221

    non mi sembra faccia alcun effetto.Ho provato link, ma non si vede alcun nome di file o cartella.

    forse dipende dai miei, settaggi, però...
    non+autenticato
  • http://sec.greymagic.com/adv/gm001-ns/
    Vai alla fine di questa pagina, c'è una form dove anche sulla mia nightly build di una settimana fa si può leggere il contenuto di una cartella o un file qualunque
    non+autenticato


  • - Scritto da: logx
    > http://sec.greymagic.com/adv/gm001-ns/
    > Vai alla fine di questa pagina, c'è una form
    > dove anche sulla mia nightly build di una
    > settimana fa si può leggere il contenuto di
    > una cartella o un file qualunque

    Scusa a cosa ti riferisci?
    A questo?

    Demonstration:

    GreyMagic Mozilla Disk Explorer

    non+autenticato
  • Uso "Mozilla 1.0 Release Candidate 1" su Linux e andando sulla pagina di test ho scoperto che questa versione soffre della vulnerabilità descritta nell'articolo.
    Ho sentito parlare di patch... dove posso scaricarla?

    CIAO
    non+autenticato


  • - Scritto da: yops
    > Uso "Mozilla 1.0 Release Candidate 1" su
    > Linux e andando sulla pagina di test ho
    > scoperto che questa versione soffre della
    > vulnerabilità descritta nell'articolo.
    > Ho sentito parlare di patch... dove posso
    > scaricarla?

    Devi scaricarti la nightly build:


    http://ftp.mozilla.org/pub/mozilla/nightly/latest/...
    non+autenticato


  • - Scritto da: TeX

    > Devi scaricarti la nightly build:
    >
    >
    > http://ftp.mozilla.org/pub/mozilla/nightly/la

    Grazie... mi sapresti dire quali sono le differenze tra queste due versioni?
    L'una è la naturale continuazione dell'altro o... cosa?
    CiaoSorride
    non+autenticato


  • - Scritto da: yops
    >
    >
    > - Scritto da: TeX
    >
    > > Devi scaricarti la nightly build:
    > >
    > >
    > >
    > http://ftp.mozilla.org/pub/mozilla/nightly/la
    >
    > Grazie... mi sapresti dire quali sono le
    > differenze tra queste due versioni?
    > L'una è la naturale continuazione dell'altro
    > o... cosa?

    La nightly build è la versione di sviluppo. Quindi è aggiornata praticamente giorno per giorno. Non è una versione ufficiale e quindi potenzialmente può avere dei bug (ma come sappiamo questo è vero anche per la versione ufficiale...). Diciamo che orientativamente (bug a parte) è una via di mezzo fra l'ultima versione ufficiale e quella che verrà dopo...
    non+autenticato


  • - Scritto da: TeX

    > La nightly build è la versione di sviluppo.
    > Quindi è aggiornata praticamente giorno per
    > giorno. Non è una versione ufficiale e
    > quindi potenzialmente può avere dei bug (ma
    > come sappiamo questo è vero anche per la
    > versione ufficiale...). Diciamo che
    > orientativamente (bug a parte) è una via di
    > mezzo fra l'ultima versione ufficiale e
    > quella che verrà dopo...

    OK!

    GrazieSorride
    non+autenticato
  • Mozilla e` anche un ottimo mail e news reader. Vediamo cosa e` invece Outlook 6, altrimenti compariamo mele con pere.

    2002-05-01: Microsoft Internet Explorer/Outlook Express XBM Handling DoS Vulnerability

    2002-04-08: Microsoft VBScript ActiveX Word Object Denial Of Service Vulnerability

    2002-03-28: Microsoft Temporary Internet File Execution Vulnerability

    2002-03-21: Microsoft Outlook IFrame Embedded URL Vulnerability

    2002-03-21: Microsoft Outlook Javascript Execution Vulnerability

    2002-03-21: Microsoft Outlook Disabled Cookies Setting Bypass Vulnerability

    2002-02-13: Outlook Express Attachment Carriage Return/Linefeed Encapsulation Filtering Bypass Vulnerability

    2001-09-12: Microsoft Outlook Express 6 Plain Text Message Script Execution Vulnerability

    2001-08-30: Outlook Express 6 Attachment Security Bypass Vulnerability

    Tutti bachi non corretti.

    Notare l'ultima **30-08-2001**.

    Grande Microsoft!
    non+autenticato
  • Hai dimenticato il fatto che Mozilla è usato principalmente da utenti Linux che molte volte nascondo bug seri anche per mesi pur di non ammettere che il loro beneamato sistema operativo ha un qualche tipo di problema...

    Inoltre il discorso sui virus non sta in piedi, perché anche se linux non avesse tutti i criteri di sicurezza che ha sul filesystem, un virus durerebbe il tempo che una nuova, rivoluzionaria (sono anni che fanno nuove, rivoluzionari versione del kernel e questo non è ancora preemptibile e ha un sacco di supporto hardware fallato, strano!), versione del kernel infici la usabilità di tutti i binari compilati sulla macchina.

    Ti sta parlando uno che ha comperato dei giochi per Linux (UT, SC3000, HOMM3) e non può più giocarci perché con le nuove versioni del kernel segfaultano e non esistono pezze per le ultime versioni... La Loki si è rirata dal supporto tecnico perché ha visto che era una battaglia persa in partenza 8 )

    Per chi mi conosce sa che alle critiche stupide rispondo con critiche stupide (che però hanno sempre un fondo di verità)
    non+autenticato


  • - Scritto da: Z.e.r.o
    > Hai dimenticato il fatto che Mozilla è usato
    > principalmente da utenti Linux che molte
    > volte nascondo bug seri anche per mesi pur
    > di non ammettere che il loro beneamato
    > sistema operativo ha un qualche tipo di
    > problema...

    Una cospirazione?
    Non mi sembra plausibile la tua teoria.

    [CUT]
    > (sono anni che
    > fanno nuove, rivoluzionari versione del
    > kernel e questo non è ancora preemptibile
    [CUT]

    Esiste una apposita patch (molto buona da quello che ho potuto constatare) per il kernel del ramo 2.4.x (anche 2.2.x) e (non vorrei sbagliarmi) è stata inserita "di default" nel ramo 2.5.x sperimentale.

    > Ti sta parlando uno che ha comperato dei
    > giochi per Linux (UT, SC3000, HOMM3) e non
    > può più giocarci perché con le nuove
    > versioni del kernel segfaultano e non
    > esistono pezze per le ultime versioni... La
    > Loki si è rirata dal supporto tecnico perché
    > ha visto che era una battaglia persa in
    > partenza 8 )

    Giochi su Linux?
    Forse è ancora prematuro parlarne nonostante i più o meno lodevoli tentativi... in ogni caso hai provato la soluzione di lasciare due kernel sul tuo sistema?
    In modo da avviare quello "compatibile" quando giochi... è scomodo però potrebbe essere una soluzione.

    ByeSorride
    non+autenticato
  • Scrivi come il traduttore automatico di Lycos.. O forse hai scritto questo post con il Sunto Automatico di Word? Le pezze? Segfaultano?
    E poi, è piena di imprecisioni, ma sono troppe e passa la voglia di segnalartele.
    non+autenticato
  • - Scritto da: Z.e.r.o
    > Hai dimenticato il fatto che Mozilla è usato
    > principalmente da utenti Linux che molte
    > volte nascondo bug seri anche per mesi pur
    > di non ammettere che il loro beneamato
    > sistema operativo ha un qualche tipo di
    > problema...

    LOL... Infatti il codice sorgente è cifrato con AES a 1024 e solo 10 persone al modo conoscono la chiaveSorpresa)
    non+autenticato
  • - Scritto da: Z.e.r.o
    > Hai dimenticato il fatto che Mozilla è usato
    > principalmente da utenti Linux che molte
    > volte nascondo bug seri anche per mesi pur

    Finiti gli argomenti eh?

    Che c'entra Linux? La mia workstation ha installato solo Windows e ho sempre usato Netscape per la posta elettronica. Ti rendi conto che Outlook causa miliardi di danni alle imprese in tutto il mondo? L'unica salvezza e' usare Netscape/Mozilla o altri prodotti per la posta elettronica.

    Alla Microsoft sono, evidentemente, dei cioccolatai.
    non+autenticato


  • - Scritto da: Z.e.r.o
    > Hai dimenticato il fatto che Mozilla è usato
    ...
    non hai dato alcuna risposta coerente alla sfilza di problemi del software microsoft.

    > Per chi mi conosce sa che alle critiche
    > stupide rispondo con critiche stupide

    però qui si parlava di DATI, che non hai discusso



    non+autenticato
  • > Cosa facciamo con questi?
    > http://www.jscript.dk/unpatched/

    diamo il tempo a mozilla di prendere quote di mercato e di scoprire quanto e' bello il mondo
    dell'utente medio che clicca ovunque...
    in fondo la 1.0 e' in giro da troppo poco tempo...


    ciao
    non+autenticato


  • - Scritto da: maks
    > > Cosa facciamo con questi?
    > > http://www.jscript.dk/unpatched/
    >
    > diamo il tempo a mozilla di prendere quote
    > di mercato e di scoprire quanto e' bello il
    > mondo
    > dell'utente medio che clicca ovunque...
    > in fondo la 1.0 e' in giro da troppo poco
    > tempo...

    Sicuro. Verranno scoperti decine e decine di bug pronti a minare in vari modi la sicurezza dell'utente.
    Pero` su quel sito ci sono un bel po' di bug scoperti da piu` di un mese. Ce n'e` addirittura uno di gennaio. Certo, molti non sono gravi, pero` una patch ce la potrebbero mettere...
    non+autenticato
  • - Scritto da: maks
    > > Cosa facciamo con questi?
    > > http://www.jscript.dk/unpatched/
    >
    > diamo il tempo a mozilla di prendere quote
    > di mercato e di scoprire quanto e' bello il
    > mondo
    > dell'utente medio che clicca ovunque...

    ... solita scusa, che può essere valida fino ad un certo punto.
    Lo stesso discorso si potrebbe fare per Apache e IIS. Come mai il secondo soffre di *molte* più vulnerabilità del primo? Come mai non esistono (quasi) worm per il primo?

    > in fondo la 1.0 e' in giro da troppo poco
    > tempo...

    La 1.0 ancora non esiste.
    non+autenticato

  • > > > Cosa facciamo con questi?
    > > > http://www.jscript.dk/unpatched/
    > >
    > > diamo il tempo a mozilla di prendere quote
    > > di mercato e di scoprire quanto e' bello
    > il
    > > mondo
    > > dell'utente medio che clicca ovunque...
    >
    > ... solita scusa, che può essere valida fino
    > ad un certo punto.
    > Lo stesso discorso si potrebbe fare per
    > Apache e IIS. Come mai il secondo soffre di
    > *molte* più vulnerabilità del primo? Come
    > mai non esistono (quasi) worm per il primo?
    >
    > > in fondo la 1.0 e' in giro da troppo poco
    > > tempo...
    >
    > La 1.0 ancora non esiste.

    'mazza che scarso senso dell'umorismo che aveteSorride))

    non si puo' piu' scherzare su niente!

    ciao
    non+autenticato
  • - Scritto da: maks
    > 'mazza che scarso senso dell'umorismo che
    > aveteSorride))
    > non si puo' piu' scherzare su niente!

    Sai com'è su PI va molto più di moda la polemica sterile che lo scherzo...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 18 discussioni)