Firefox, il pericolo viene dagli add-on

Mozilla ha avvisato gli utenti che in tutte le attuali versioni di Firefox si cela una falla sfruttabile da un aggressore per leggere certi file presenti sul disco locale. Mozilla assicura una patch in tempi brevi

Mountain View (USA) - Mentre la comunità open source si prepara a festeggiare i 10 anni dal rilascio del codice di Netscape Communicator 5.0, e la conseguente nascita del progetto Mozilla, il capo della sicurezza di Mozilla Foundation, Window Snyder, ha reso pubblica una falla di Firefox di cui è già stato pubblicato un exploit dimostrativo.

In questo advisory Snyder spiega che la debolezza si cela nel codice di Chrome, l'interfaccia utente utilizzata da Firefox e Thunderbird, e mette a rischio i sistemi in cui sono installati certi tipi di estensione. Un aggressore potrebbe sfruttare la vulnerabilità per venire a sapere, attraverso attacchi di directory traversal, se certi file o programmi siano presenti su di una macchina remota: informazioni che possono rivelarsi molto preziose per tentare di bucare il sistema sfruttando altre vulnerabilità.

Le estensioni a rischio sono quelle cosiddette "flat", i cui file non sono archiviati all'interno di un file JAR (Java Archive): due fra gli add-on più noti appartenenti a questa categoria sono Download Statusbar e Greasemonkey.
Mozilla ha valutato il problema di basso rischio, ed ha promesso di correggerlo in una delle prossime release del proprio browser. Nel frattempo, gli utenti di Firefox possono proteggersi da eventuali attacchi utilizzando l'estensione NoScript.
145 Commenti alla Notizia Firefox, il pericolo viene dagli add-on
Ordina
  • dall'articolo:

    la debolezza si cela nel codice di Chrome, l'interfaccia utente utilizzata da Firefox e Thunderbird, e mette a rischio i sistemi in cui sono installati certi tipi di estensione

    gli utenti di Firefox possono proteggersi da eventuali attacchi utilizzando l'estensione NoScript


    mi pare che la solita diatriba fra IE e FF in questo caso c'entri davvero poco...

    da quanto riportato nell'articolo il problema è legato non tanto al browser in sé quanto all'esecuzione di script (che si suppone siano javascript): come per gli ActiveX di IE, questi script sono "cosucce" che qualsiasi utente dovrebbe DISABILITARE DEL TUTTO impedendone in ogni caso l'esecuzione

    sono troppo drastico?
    direte: ... ma così perdo qualche funzionalità che mi dà il sito!
    beh... per me un sito che "funziona" solo con ActiveX o javascript non è degno di essere visitato: semplicemente non ci navigo!

    e risolto il "problema"!

    ciao
    non+autenticato
  • - Scritto da: CCC
    > dall'articolo:
    > sono troppo drastico?
    > direte: ... ma così perdo qualche funzionalità
    > che mi dà il
    > sito!
    > beh... per me un sito che "funziona" solo con
    > ActiveX o javascript non è degno di essere
    > visitato: semplicemente non ci
    > navigo!
    >
    > e risolto il "problema"!
    >
    > ciao

    Già, infatti!
    Google Maps non è degno di essere visitato!!!

    Troll chiacchierone
    non+autenticato
  • - Scritto da: Pongo
    > Già, infatti!
    > Google Maps non è degno di essere visitato!!!
    >
    > Troll chiacchierone

    che me ne faccio di google maps? se voglio vedere le strade dall'alto prendo l'elicottero del papi!
    non+autenticato
  • contenuto non disponibile
  • Io non lo visiterei ma , ahime, ci sono siti che servono...
    esis.ceda , segreteria on-line dell'università federico II è tutto un javascript e firefox non me lo apre...
    E serve per prenotare gli esami!
    Non c'è un modo alternativo e allora che si fa?
    Si va in facoltà e si prenota dai pc della sala di informatica..
    Ma se uno è uno studente fuori sede allora sono cavoli...
    Riporto il link, ma vi avverto che non è un sito sicuro!
    http://esis.ceda.unina.it/homepage.asp
    A vostro rischio e pericolo navigarlo!
    Io sono costretto ad usarlo....
    non+autenticato
  • Quoto. Sono iscritto alla stessa facoltà e ogni volta che devo rpenotare un esame ho sempre problemi, anche con l'add-on IE-Tab... E sono costretto ad usare ie6.0.
    Il problema però nonn è di firefox, ma di quei cani che hanno fatto il sito, scabdaloso.
    Cmq viva ff, sempre e ovunque.
    non+autenticato
  • Cioè scusate, non facoltà, volevo dire università.
    non+autenticato
  • E' vero, IE7 e' un grande salto di qualità rispetto a IE6. Come web developer mi trovo più al mio aggio con Firefox, ho tanti cool add-ons disponibili: Web Developer Toolbar, Firebug (fantastico), ColorPicker, Tidy Validation, Save page as image.
    Poi, il browser funziona su Linux e Mac.
    Tirate i sassi, dimenticate il passato. Microsoft ha sempre cercato di fare le proprie regole dimenticando W3C. Firefox ha sempre seguito le regole.
    C'e' un bug? Bene, correggiamolo. IE ne ha avuto (e ne ha) tanti.
  • E' curioso come il capo della sicurezza di Mozilla Foundation si chiami... Window
    Rotola dal ridere
    non+autenticato
  • E non solo si chiama Window di nome,
    con l'iniziale del cognome suona Window S
    non+autenticato
  • Stabilire quale dei 2 browser sia più sicuro, è difficile, se ci basiamo sui dati riguardanti, le falle patchate, Internet Explorer ne ha avute di meno rispetto a Firefox:
    http://www.downloadblog.it/post/5139/internet-expl...
    basandoci su questi dati IE7 risulterebbe più sicuro, ma Mozilla smentisce dicendo che Microsoft non rende pubblici tutti i bugs di IE7, cosa al quanto difficile, dato che IE7 è quasi 3 volte più diffuso rispetto a FF2, di conseguenza è difficile nascondere le falle di un browser così diffuso.
    Firefox appena allarga la propia diffusione aumentano i problemi.
    non+autenticato
  • 1. Firefox è assai più stabile di IE, a me non si blocca mai, anche con decine di sessioni aperte, cosa non vera per IE, in particolare per la versione 6.0 che in giro è ancora la più diffusa. Inoltre un crasch di Firefox non compromette la stabilità di Windows (cosa di non poco conto) e riavviato Firefox ti conduce se vuoi sulla pagina prima del crasch
    2. Firefox è più sicuro (intrinsecamente, non fa parte del SO)
    3. Puoi usarlo anche da chiavetta senza doverlo installare!

    Quindi perchè utilizzare IE?
  • - Scritto da: Enjoy with Us
    > 2. Firefox è più sicuro (intrinsecamente, non fa
    > parte del
    > SO)

    una volta che lo installi, fa parte dell'OS, nè più e nè meno come IE.
    non+autenticato
  • - Scritto da: caffè
    > - Scritto da: Enjoy with Us
    > > 2. Firefox è più sicuro (intrinsecamente, non fa
    > > parte del
    > > SO)
    >
    > una volta che lo installi, fa parte dell'OS, nè
    > più e nè meno come
    > IE.

    Anche quando apri un pornazzo questo viene caricato in memoria e quindi entra a far parte dell'OS, ergo Windows è una porcheriaCon la lingua fuori
    Funz
    12995
  • Per esperienza garantisco che questo accade anche con linux Imbarazzato
  • - Scritto da: Enjoy with Us
    > 1. Firefox è assai più stabile di IE, a me non si
    > blocca mai, anche con decine di sessioni aperte,
    > cosa non vera per IE, in particolare per la
    > versione 6.0 che in giro è ancora la più diffusa.
    > Inoltre un crasch di Firefox non compromette la
    > stabilità di Windows (cosa di non poco conto) e
    > riavviato Firefox ti conduce se vuoi sulla pagina
    > prima del
    > crasch
    > 2. Firefox è più sicuro (intrinsecamente, non fa
    > parte del
    > SO)
    > 3. Puoi usarlo anche da chiavetta senza doverlo
    > installare!
    >
    > Quindi perchè utilizzare IE?

    Perchè non è vero quello che hai scritto?
    non+autenticato
  • a parte che Internet Explorer 7 è il browser più diffuso, non il 6, aggiornati prima di postare, guarda qui:
    http://marketshare.hitslink.com/report.aspx?qprid=...

    dove sta scritto che se IE7 crashcia, compromette la stabilità di Windows?(dato che dici che firefox non fà)

    adesso Firefox è più sicuro per che non fà parte di Windows, un concetto un pò ambiguo.

    Anche se lo installi su una chaivetta USB i file di registro vengono scritti ugualmente sul pc, dove è il vantaggio?
    non+autenticato
  • - Scritto da: saxpax
    >
    > Anche se lo installi su una chaivetta USB i file
    > di registro vengono scritti ugualmente sul pc,
    > dove è il
    > vantaggio?

    Non scrive nulla nel registro di sistema, ma i settaggi stanno in una cartella nascosta sulla chiavetta (un po come in linux con la cartella .mozilla).
    Il grande vantaggio è che lo puoi usare come lo hai settato a casa (RSS, segnalibri ecc) ovunque tu sia senza preoccuparti di lasciare "dati sensibili" sul pc che ti ospita.
  • - Scritto da: Enjoy with Us
    > 1. Firefox è assai più stabile di IE, a me non si
    > blocca mai, anche con decine di sessioni aperte,
    > cosa non vera per IE, in particolare per la
    > versione 6.0 che in giro è ancora la più diffusa.
    > Inoltre un crasch di Firefox non compromette la
    > stabilità di Windows (cosa di non poco conto) e
    > riavviato Firefox ti conduce se vuoi sulla pagina
    > prima del
    > crasch
    IE7 fa le stesse cose.

    > 2. Firefox è più sicuro (intrinsecamente, non fa
    > parte del
    > SO)
    Non diciamo balle. Ci sono stati molti meno aggiornamenti di sicurezza per ie7 che per firefox nel 2007. Inoltre è ancora aperta una vulnerabilità che permette ad un banale javascript di recuperare in chiaro login e password memorizzate nel password manager di firefox. E sono mesi che è aperto. Questa è sicurezza?

    > 3. Puoi usarlo anche da chiavetta senza doverlo
    > installare!
    E quindi?

    >
    > Quindi perchè utilizzare IE?
    Perchè ognuno ha i suoi gusti.
    non+autenticato
  • - Scritto da: Enjoy with Us
    > 1. Firefox è assai più stabile di IE, a me non si
    > blocca mai, anche con decine di sessioni aperte,
    > cosa non vera per IE, in particolare per la
    > versione 6.0 che in giro è ancora la più diffusa.

    > Quindi perchè utilizzare IE?
    Stai dicendo che IE7 non va usato perché la IE6 è più diffusa?
    E che ragionamento sarebbe?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)