Firefox stucca otto falle

Mozilla ha rilasciato nuove versioni di Firefox che correggono diverse falle di sicurezza, due piuttosto gravi, e migliorano le protezioni anti-XSS. Si attendono update anche per Thunderbird e SeaMoney

Mountain View (USA) - Verso la fine della scorsa settimana Mozilla Foundation ha pubblicato versioni aggiornate di Firefox che sistemano diverse vulnerabilità di sicurezza, alcune delle quali piuttosto severe. Un paio di questi problemi saranno presto sistemati anche in Thunderbird.

Tra le falle più gravi corrette da Firefox 2.0.0.2 e 1.5.0.10 vi è quella relativa all'attributo DOM location.hostname, scoperta un paio di settimane fa dal noto bug hunter polacco Michal Zalewski. La debolezza può consentire ad un sito web maligno di manipolare il cookie di autenticazione di qualsiasi altro dominio, rendendo possibile attacchi di cross-site scripting (XSS) anche molto insidiosi.

Il massimo livello di pericolosità è stato assegnato dal team di Mozilla ad una nuova falla, descritta qui, che può essere utilizzata da un aggressore per mandare in crash l'applicazione o eseguire del codice da remoto a propria scelta. Dal momento che condivide lo stesso motore di Firefox, questo bug interessa potenzialmente anche Thunderbird, ma solo se il client è stato configurato per eseguire automaticamente i JavaScript (funzione di cui Mozilla sconsiglia vivamente l'attivazione).
Le altre debolezze di Firefox, sintetizzate qui, sono state classificate di pericolosità moderata e bassa: ciò significa che possono essere sfruttate solo in circostanze molto particolari o con metodi complessi e, nella maggioranza dei casi, esclusivamente per attacchi di denial of service.

Mozilla ha anche sotolineato come le nuove versioni di Firefox includano una serie di migliorie pensate per rafforzare le difese del browser contro gli attacchi XSS e per migliorarne la compatibilità con Windows Vista.

La versione 1.5.0.10 di Thunderbird, la cui distribuzione ufficiale avverrà a breve, corregge invece due vulnerabilità, la più grave delle quali consiste in un buffer overflow nel Network Security Services SSLv2 di Mozilla: lo stesso bug interessa anche Firefox, ma viene qui considerato di minore importanza.

La quasi totalità di questi problemi verrà presto corretto anche in SeaMonkey, il celebre erede di Mozilla Suite.

Pochi giorni fa Zalewski ha scoperto una nuova debolezza di Firefox legata alla gestione dei JavaScript che, secondo l'esperto, può essere utilizzata da remoto per eseguire del codice qualsiasi. Il bug si trova descritto in questo advisory apparso su BugZilla, ed è già stato corretto in alcune build del browser.
78 Commenti alla Notizia Firefox stucca otto falle
Ordina
  • Hahahahhahahahahah
    hahahhahahahahah
    Questo browser sta facendo la fine che si merita
    Clicca per vedere le dimensioni originali
    non+autenticato

  • - Scritto da:
    > Hahahahhahahahahah
    > hahahhahahahahah
    > Questo browser sta facendo la fine che si merita
    > [img]http://www.cazzateonline.com/foto-divertenti/
    hahahaha è la tua postazione dalla quale trolli allegramente? Rotola dal ridere
    non+autenticato
  • Firefox veniva pubblicizzato come browser di cui fidarsi, e invece ogni mese escono falle in continuazione, anche molto gravi. In lacrime

    non+autenticato
  • Bene, significa che si sta diffondendo e sta sorpassando IE. E in più qui le falle qui vengono tappate...
    non+autenticato
  • scusa ma a me che me ne frega se ti è scaduto ?

    nessuno ti impone di usarlo.. passa ad altro.. alcuni commenti sono ridicoli... sembra l'asilo
    non+autenticato

  • - Scritto da:
    > scusa ma a me che me ne frega se ti è scaduto ?
    >
    > nessuno ti impone di usarlo.. passa ad altro..
    > alcuni commenti sono ridicoli... sembra
    > l'asilo

    E a me che mi frega se a te non frega che a lui è scaduto.
    Non rispondergli se è scaduto... sembra l'asilo.
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    > > scusa ma a me che me ne frega se ti è scaduto ?
    > >
    > > nessuno ti impone di usarlo.. passa ad altro..
    > > alcuni commenti sono ridicoli... sembra
    > > l'asilo
    >
    > E a me che mi frega se a te non frega che a lui è
    > scaduto.
    > Non rispondergli se è scaduto... sembra l'asilo.

    A me invece frega, siamo in un forum!

    E cmq anche tu, perchè rispondi se non ti frega?

    Sembra l'asilo... e mi piaceA bocca aperta
    non+autenticato
  • - Scritto da:

    > A me invece frega, siamo in un forum!

    appunto.
    A qualcuno può interessare il parere degli altri, quindi dire "zitto, non me ne frega nulla" *questo* è essere infantili.

    > E cmq anche tu, perchè rispondi se non ti frega?

    a me frega eccome.
    Prima ho mentitoSorride

    > Sembra l'asilo... e mi piaceA bocca aperta

    anche Micheal Jackson direbbe la stessa cosa Anonimo
    non+autenticato
  • > Firefox veniva pubblicizzato come browser di cui
    > fidarsi, e invece ogni mese escono falle in
    > continuazione, anche molto gravi.
    > In lacrime
    >

    la maggior parte delle cosiddette "falle" non sono nemmeno sfruttabili, ma fanno notizia e tutti già a leggere le testate informatiche!

    l'unica falla decente è stata scoperta 10 giorni fa e fixata in questa release...

    ma dopotutto quanti malware hai preso usando firefox? Zero? cavolo allora forse non è solo pubblicità
    non+autenticato
  • - Scritto da:
    > Firefox veniva pubblicizzato come browser di cui
    > fidarsi, e invece ogni mese escono falle in
    > continuazione, anche molto gravi.
    > In lacrime
    >

    Basta con questa cazzata. Le falle escono e vengono corrette. Non ho ancora sentito la testimonianza di qualcuno che ha perso dei dati o subito intrusioni per colpa di una falla in Firefox.
    non+autenticato

  • - Scritto da:
    > Firefox veniva pubblicizzato come browser di cui
    > fidarsi, e invece ogni mese escono falle in
    > continuazione, anche molto gravi.
    > In lacrime
    >

    La cosa rilevante non sono le falle, sono le patch!
    Che un sw abbia bug è normale; sono le patch che fa la differenza.
    E onestamente non mi posso lamentare della rapidità di FF. (Parlo SOLO ed ESCLUSIVAMENTE a nome mio, astenersi troll!)
    non+autenticato
  • da quando ho aggiornato (circa 24 ore) mi si blocca a ripetizione........

    In lacrime
    non+autenticato
  • I tempi di risoluzione dei bug relativi alla sicurezza di Firefox sono molto più brevi di quelli della concorrenza, e il fatto che il suo codice aperto sia scrutinato pubblicamente da molti esperti indipendenti è una garanzia in più.

    Cio detto, tutti i browser (incluso Firefox), implementano le prime 3 tra "le idee più imbecilli nella sicurezza informatica" ("The Dumbest Idea in Computer Security", http://www.ranum.com/security/computer_security/ed... ), vale a dire:

    #1) "Default Permit" - JavaScript, Java, Flash ed altre tecnologie "eseguibili" sono attive su qualunque sito come impostazione predefinita

    #2) "Enumerating Badness" - (variante di default permit), il browser è sicuro, purchè tu abbia anche un firewall, un antivirus, un antispyware...

    #3) "Penetrate and Patch" - non appena troviamo una falla la ripariamo (OK, a patto che tu la trovi e la ripari prima dei "cattivi")

    NoScript adotta la filosofia opposta, l'unica valida se si parla di sicurezza: tutto quello che è potenzialmente eseguibile (anche se in una sandbox) dovrebbe essere preventivamente disabilitato, ed eventualmente abilitato per scelta dell'utente sui siti fidati.

    Non a caso, gli utenti di NoScript erano immuni da tutte le vulnerabilità di cui si è parlato recentemente.

    Meditate gente... http://noscript.net
    non+autenticato

  • - Scritto da:
    > I tempi di risoluzione dei bug relativi alla
    > sicurezza di Firefox sono molto più brevi di
    > quelli della concorrenza, e il fatto che il suo
    > codice aperto sia scrutinato pubblicamente da
    > molti esperti indipendenti è una garanzia in
    > più.

    una garanzia anche per chi cerca falle zero-day da sfruttare per i suoi porci comodi

    Rotola dal ridere
    non+autenticato
  • fai prima a non usare il browser se devi sbatterti ad inserire ogni sito che visiti in NoScript
    non+autenticato

  • - Scritto da:
    > fai prima a non usare il browser se devi
    > sbatterti ad inserire ogni sito che visiti in
    > NoScript

    errore no script di default disabilita tutti i siti (dei quali la maggior parte fa il suo dovere senza) e tu per i siti di cui ti fidi abiliti gli script (con un semplice click)
    non+autenticato

  • - Scritto da:
    > I tempi di risoluzione dei bug relativi alla
    > sicurezza di Firefox sono molto più brevi di
    > quelli della concorrenza

    Dipende da quale concorrenza, se mi parli di Opera, vedo un buon testa-testa.

    > codice aperto sia scrutinato pubblicamente da
    > molti esperti indipendenti è una garanzia in
    > più.

    Sicuramente qualcuno lo guarda, ma credo che siano pochi quelli che effettivamente lo controllano ( e' solo una mia idea )

    > NoScript adotta la filosofia opposta,
    > l'unica valida se si parla di sicurezza: tutto
    > quello che è potenzialmente eseguibile (anche
    > se in una sandbox) dovrebbe essere
    > preventivamente

    confermo, consiglio l'uso di noscript per Firefox.

    Per opera, esiste la possibilita' di un risultato uguale, si disattiva a livello globale e per ogni sito fidato si riattiva, senza installare plug esterni Sorride .


  • mi sembra che ritardino... colpa di Vista?

  • - Scritto da: motumboe
    > mi sembra che ritardino...

    e intanto siamo scoperti In lacrime
    non+autenticato

  • - Scritto da: motumboe
    > mi sembra che ritardino... colpa di Vista?

    uso thunderbird 2 dalla beta 1 e posso garantire che funziona meglio del thunderbird 1

    scaricate!!! scaricate!!! scaricate!!!
    non+autenticato
  • L'altro giorno mi sono trovato a leggere questo articolo http://www.zone-h.it/content/view/481/9/

    Provate ad effettuare il test con l'ultima versione di firefox...non crederete ai vostri occhi!!
    Link:
    http://www.heise-security.co.uk/services/browserch...
    non+autenticato
  • E' anche un problema di Opera...
    OK non e' che cosi' si stemperi ma dimostra solo che anche i piu' blasonati non sono esenti da difetti e rischi.

    - Scritto da:
    > L'altro giorno mi sono trovato a leggere questo
    > articolo
    > http://www.zone-h.it/content/view/481/9/
    >
    > Provate ad effettuare il test con l'ultima
    > versione di firefox...non crederete ai vostri
    > occhi!!
    >
    > Link:
    > http://www.heise-security.co.uk/services/browserch

  • - Scritto da:
    > L'altro giorno mi sono trovato a leggere questo
    > articolo
    > http://www.zone-h.it/content/view/481/9/
    >
    > Provate ad effettuare il test con l'ultima
    > versione di firefox...non crederete ai vostri
    > occhi!!
    >
    > Link:
    > http://www.heise-security.co.uk/services/browserch


    No, impossibile, non si chiama mica Internet Explorer. Anche quando puoi modificare il sorgente e ricompilartelo.

    ciao
    non+autenticato
  • Quindi tutti i bei discorsi sulla sicurezza di FF rispetto al tanto criticato IE alla fine erano un modo per "lanciare" FF sulla scena mondiale "browseristica", denigrando il secondo.

    Diciamo la verità, entrambi sono creature dell'uomo e in quanto tale è accettabile che qualche problema ci sia.




    dillatutta.com - perchè la verità... funziona

  • - Scritto da: Dirk Pitt
    > Quindi tutti i bei discorsi sulla sicurezza di FF
    > rispetto al tanto criticato IE alla fine erano un
    > modo per "lanciare" FF sulla scena mondiale
    > "browseristica", denigrando il
    > secondo.
    >
    > Diciamo la verità, entrambi sono creature
    > dell'uomo e in quanto tale è accettabile che
    > qualche problema ci
    > sia.
    >
    >
    >
    >
    > dillatutta.com - perchè la verità... funziona

    Verissimo, tutto sta nel rapporto efficienza/bugs.

    Per quanto mi riguarda con FF posso navigare tranquillamente senza che mi partano finestre e finestrelle di pubblicità varie.
    Con IE no.

    I bugs che affliggono FF non mi creano nessun problema, quelli di IE si.

    Indi uso FF.

    Ma non per questo faccio campagne di convincimento contro IE o pro FF!

    Vivi e lascia vivere!
    non+autenticato
  • facciamo cosi : fatti un giro con IE e firefox sui sito porno/warez (che sono i preferiti dagli attaccanti per metterci gli exploit) e confronta i risultati ...
    poi tra parentesi quella "falla" fa ridere . se uno e' stupido non c'e sw che tenga contro il social engineering . cio' vuol dire che per certa gente usare FF o IE non fa differenza .
  • - Scritto da: illegalinstruct
    > facciamo cosi : fatti un giro con IE e firefox
    > sui sito porno/warez (che sono i preferiti dagli
    > attaccanti per metterci gli exploit) e confronta
    > i risultati
    > ...
    > poi tra parentesi quella "falla" fa ridere . se
    > uno e' stupido non c'e sw che tenga contro il
    > social engineering . cio' vuol dire che per certa
    > gente usare FF o IE non fa differenza
    > .

    E sti cazzi!A bocca aperta Da quando in qua i file .html sono considerati pericolosi quanto un eseguibile ?Rotola dal ridere Il social engineering entra in gioco sempre quando si tratta di sfruttare le falle nelle applicazioni utente, vedi Office, Player Multimediali eccetera.. In ogni caso c'è sempre bisogno dell'interazione con l'utente, e sinceramente non so quanti internet users cliccherebbero su Annulla quando gli si presente la finestra di download che chiede di aprire il file grandegnocca.html A bocca aperta

    Per la cronoca la nuova versione di Internet Explorer blocca gli script che tentano di accedere ai file locali... a questo punto non so se sia più sicuro andare sui siti porno con IE o firefoxA bocca aperta



    non+autenticato
  • genio , se vedi un html che il browser non apre , qualche dubbio ti viene , no ?

  • - Scritto da: illegalinstruct
    > genio , se vedi un html che il browser non apre ,
    > qualche dubbio ti viene , no
    > ?

    E Chissà a quanti viene questo dubbio (è solo un file .html, cosa vuoi che succeda se lo apro con firefox stesso?)..Rotola dal ridere
    A dimenticavo tu sei più intelligente della media, quindi non apriresti mai un file .html. Non parliamo poi se un tuo "amico" dovesse mandartelo come allegato email.


    non+autenticato

  • - Scritto da:
    >

    > E Chissà a quanti viene questo dubbio (è solo un
    > file .html, cosa vuoi che succeda se lo apro con
    > firefox
    > stesso?)..Rotola dal ridere

    dopo 5 o 6 trojan imparano ...
    > A dimenticavo tu sei più intelligente della
    > media,
    non lo so , ma visto il livello dei programmi RAI e' probabile .
    >quindi non apriresti mai un file .html.
    NO -
    > Non parliamo poi se un tuo "amico" dovesse
    > mandartelo come allegato email.
    questo e' un altro discorso ,passiamo ai clent di posta , e qui penso che su win la situazione sia grigia: tra thunderbid e outlook express ..


    non+autenticato

  • - Scritto da: illegalinstruct
    > facciamo cosi : fatti un giro con IE e firefox
    > sui sito porno/warez (che sono i preferiti dagli
    > attaccanti per metterci gli exploit) e confronta
    > i risultati

    E' cosi' sceso di livello questo firefox che devi confrontalo con GrovieraExploder? Sorride

    Un vero confronto lo fai con Opera, Konqueror, ...

    ciao
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)