Update di sicurezza per Firefox

L'ultimo aggiornamento di Firefox sistema otto vulnerabilitÓ di sicurezza, alcune delle quali utilizzabili per eseguire del codice da remoto

Mountain View (USA) - Ieri Mozilla Foundation ha rilasciato un update di sicurezza per Firefox, il 2.0.0.5, che sistema 8 vulnerabilità, tre delle quali classificate con il massimo livello di pericolosità.

Tra le falle "critiche" corrette da Firefox 2.0.0.5 c'è anche quella scoperta di recente e relativa alla gestione degli URI FirefoxURL://, che può essere sfruttata richiamando il browser open source da Internet Explorer.

La seconda debolezza in ordine di gravità può consentire ad un aggressore di richiamare un event handler che gli consenta di eseguire del codice a propria scelta con privilegi elevati. La terza falla critica riguarda la possibilità di eseguire Javascript maligni con gli stessi privilegi dell'utente locale.
Tra gli altri problemi risolti dall'aggiornamento vi sono bug di tipo cross-site scripting, frame spoofing e accesso non autorizzato ai documenti wyciwyg://. I dettagli delle vulnerabilità si trovano in questa pagina.

"Raccomandiamo caldamente a tutti gli utenti di Firefox di aggiornarsi all'ultima release", si legge in un comunicato di Mozilla.

Chi dispone di Firefox 2.0.0.x dovrebbe aver già ricevuto una notifica di aggiornamento: se così non fosse, è possibile avviare manualmente la ricerca degli aggiornamenti attraverso l'apposito comando (in Linux e Mac Os X si trova nel menu Guida, in Windows nel menu ?) oppure scaricare Firefox 2.0.0.5 da GetFirefox.com o MozillaItalia.it.

Come usuale, nei prossimi giorni sarà rilasciato un analogo aggiornamento per il client di posta elettronica Thunderbird.
13 Commenti alla Notizia Update di sicurezza per Firefox
Ordina
  • avrei voluto postare quello che ha scritto lui ma visto che già l'ha fatto, ne approfitto per sollecitarvi a leggerlo... microsoft non se la sente di patchare ie, e siamo messi maluccio, se qualcuno decide di sfruttare la falla torniamo ai tempi in cui stando connessi su internet si vedevano aprirsi lettori cd ed avviare programmi non richiesti... nei casi migliori ovviamente...

    E poi qualcuno pochi giorni fa diceva "c'è questa terribile falla, e dopo 2 giorni ancora non l'hanno corretta"... eccoci, versione 2.0.0.5 uscita ancora prima del previsto dopo una settimana. Personalmente sono soddisfatto!
    non+autenticato
  • è bello vedere la demenza di sto forum:

    - un programma ha un bug 300 messaggi con scritto "Al tappeto"
    - il programma y ha un bug 300 messaggi con scritto "si ma la falla del programma x è sempre aperta"
    - oggi esce una nuova versione del programma che corregge tutti i bug dei quali la gente si è lamentata per mesi e quanti messaggi abbiamo? con il mio 4

    ottimo

    ps: giovani nerd che hanno paura del cambiamento poichè temono di non essere in grado di lavorare con sistemi diversi da win preparatevi sta per passare un provvedimento di legge che banna i software non liberi dalle pubbliche amministrazioni (scuole comprese) . Su tutti con i libri in mano
    non+autenticato
  • - Scritto da: Fabrizio
    > ps: giovani nerd che hanno paura del cambiamento
    > poichè temono di non essere in grado di lavorare
    > con sistemi diversi da win preparatevi sta per
    > passare un provvedimento di legge che banna i
    > software non liberi dalle pubbliche
    > amministrazioni (scuole comprese) . Su tutti con
    > i libri in
    > mano

    ma smettila di dire stupidaggini. Fra le altre cose Microsoft regala il software e le licenze alle scuole e università.
    non+autenticato
  • - Scritto da: david

    > ma smettila di dire stupidaggini. Fra le altre
    > cose Microsoft regala il software e le licenze
    > alle scuole e
    > università.

    Pure lo spaccino davanti al mio liceo regalava dosi di fumo ed altre porcherie...

    Il presidente del Brasile Lula ha detto a Bill Gates che è come quegli spaccini davanti alle scuole. Perché dopo che ti hanno regalato a scuola la prima dose di Office, quando poi ne esci non saprai usare altro e lo dovrai andare a comprare, e ne dovrai fare comprare una copia anche dove andrai a lavorare.

    Bill Gates ha denunciato Lula il presidente del Brasile nel suo stesso paese per l'offesa.
    Ma poi hanno lasciato prescrivere la denuncia...
    Comunque Lula sta convertendo tutte le sue Pubbliche Amministrazioni a Linux e opensource.
    Come dire liberalizziamo la droga informatica...
    non+autenticato
  • - Scritto da: Fabrizio
    > è bello vedere la demenza di sto forum:
    > - un programma ha un bug 300 messaggi con scritto
    > "Al
    > tappeto"
    > - il programma y ha un bug 300 messaggi con
    > scritto "si ma la falla del programma x è sempre
    > aperta"
    > - oggi esce una nuova versione del programma che
    > corregge tutti i bug dei quali la gente si è
    > lamentata per mesi e quanti messaggi abbiamo? con
    > il mio
    > 4
    > ottimo

    Non disperarti, gli "Exploriani" sono fatti cosi', e da tempo immemorabile... Con la lingua fuori
    Noi invece facciamo proprio il motto: "Non ti curar di loro, ma guarda e passa."
    FF nel continente ormai viaggia a quota 40%. A colleghi ed amici cui si incasinano costantemente il PC per spyware&affini, dopo aver pulito e sistemato la macchina, piazzo a sorpresa FF! Prima dicono che non useranno mai un programma nuovo, hanno gia' IE, etc. etc.
    Invece piano, piano, poco poco, li ritrovi dopo un po' di tempo che ti devono far vedere qualcosa in rete ed, opla', invece di aprire l'Exploder, ti trovi attivo il mozillone...
    Faccetta sarcastica ed un po' compiaciuta del sottoscritto come a dire: e allora? che ti avevo detto? funziona o no?.
    Risposta: beh effettivamente, non funziona niente male, ha cominciato ad usarlo anche mia moglie (uauuuu!!!). Deluso

    LV&P Angioletto
  • Vale la pena di notare che una delle falle più gravi "corrette" da questa release (vale a dire http://www.mozilla.org/security/announce/2007/mfsa... ) affligge ancora il principale responsabile, cioè Internet Explorer.

    Come spiega Thor Larholm, uno degli scopritori del problema, sono moltissime le applicazione (anche della stessa Microsoft) che, come Firefox 2.0.0.4, si aspettano che il loro gestore di URL (nel caso di Firefox, l'ormai famoso firefoxurl:) venga invocato solo dopo un'adeguata validazione da parte del chiamante. Ognuna di queste può essere utilizzata come vettore per l'esecuzione di codice remoto: "Posso ancora lanciare una vasta gamma di applicazioni esterne da Internet Explorer e fornire loro argomenti arbitrari sulla linea di comando. AcroRd32.exe (Adobe Acrobat PDF Reader), aim.exe (AOL Instant Messenger), Outlook.exe, msimn.exe (Outlook Express), netmeeting.exe, HelpCtr.exe (Windows Help Center), mirc.exe, Skype.exe, wab.exe (Windows Address Book) e wmplayer.exe (Windows Media Player), giusto per citarne alcune." http://larholm.com/2007/07/18/firefox-fixes-intern.../

    Ecco ad esempio un exploit per "possedere" il PC da Internet Explorer passando attraverso Trillian, confezionato da Nate Mcfeters, Billy Rios e Raghav Dube: http://www.xs-sniper.com/nmcfeters/Cross-App-Scrip...

    Tuttavia, come fa notare con un pizzico di malignità Windows Snyper dal suo Mozilla Security Blog, "Microsoft deve riparare Internet Explorer, ma l'ultima volta che abbiamo controllato, non si stava neanche preparando a farlo. Mark Griesi, citato da Infoworld, diceva <<Non ci pare che ci sia un problema in IE, e pertanto non c'è nulla da aggiustare.>> Mozilla raccomanda di usare Firefox per navigare sul web, in modo da impedire agli attaccanti di sfruttare questa vulnerabilità in Internet Explorer." - http://blog.mozilla.com/security/2007/07/18/fix-fo.../
    ______________________________________________
    There's a browser safer than Firefox... http://noscript.net
  • > Ecco ad esempio un exploit per "possedere" il PC
    > da Internet Explorer passando attraverso
    > Trillian, confezionato da Nate Mcfeters, Billy
    > Rios e Raghav Dube:
    > http://www.xs-sniper.com/nmcfeters/Cross-App-Scrip

    Provato:nn è successo niente in entrambe i casi.
  • > Provato:nn è successo niente in entrambe i casi.

    Probabilmente non hai Trillian installato.
  • - Scritto da: Giorgio Maone
    > Probabilmente non hai Trillian installato.

    e allora smettila di fare disinformazione!
    La falla c'è in firefox e in trillian ammesso che li ha installati, non è in IE.
    non+autenticato
  • - Scritto da: Giorgio Maone
    > Probabilmente non hai Trillian installato.

    oppure usa IE7 su Windows Vista che grazie alla modalità protetta è molto più sicuro di Firefox.
    non+autenticato
  • ma non dire cazzate, la falla c'è perchè era colpa di firefox.
    non+autenticato
  • - Scritto da: Giorgio Maone
    > sono moltissime le applicazione
    > (anche della stessa Microsoft) che, come Firefox
    > 2.0.0.4, si aspettano che il loro gestore di URL
    > (nel caso di Firefox, l'ormai famoso firefoxurl:)
    > venga invocato solo dopo un'adeguata validazione
    > da parte del chiamante. Ognuna di queste può
    > essere utilizzata

    ma non dire cazzate, la differenza è che firefox era fallato, mentre tutte le altre applicazioni non si fanno fregare lanciando exe perchè passati come argomento!
    Le uniche falle emerse sono quelle in firefox e in trillian. Negli altri prodotti non ci sono.
    non+autenticato
  • ottimo stavo per postarlo io, in effetti tutti i programmi e soprattutto i browser (firefox e opera) fanno controlli prima di passare cose a chicchessia...

    così com'è chiunque usando IE può lanciare un altra qualsiasi applicazione sul sistema, causano non pochi guai... mi spiace che ci sia gente che accecata (da non so cosa) si ostina a non capire la pericolosità di questo modo di comportarsi di microsoft...

    Si sono limitati a dire che per loro è troppo complesso patchare ie in modo che non passi variabili non controllate agli altri programmi... quando invece gli altri programmi già evitano di farlo...
    non+autenticato