Dieci cerottoni per Firefox

Nel browser open source di Mozilla sono state corrette diverse vulnerabilità, tra le quali tre classificate di rischio molto elevato. Sul fronte Firefox 3, è imminente il rilascio della terza beta

Mountain View (USA) - Lo scorso venerdì Mozilla ha distribuito un aggiornamento di sicurezza per Firefox, il 2.0.0.12, che corregge oltre una dozzina di falle di sicurezza descritte in dieci advisory, tre dei quali classificati con il massimo grado di rischio.

Le vulnerabilità "critiche" possono consentire ad un malintenzionato di leggere la cronologia, causare il crash del browser ed eseguire del codice con gli stessi privilegi dell'utente locale. L'unica falla classificata "high" è quella di cui si è dato notizia verso la fine di gennaio, sfruttabile per eseguire script, immagini o stylesheet da cartelle conosciute.

Tra le altre debolezze, classificate di media o bassa gravità, ve n'è una relativa alla corruzione delle password salvate ed una che potrebbe consentire ad un sito web maligno di manomettere i box di dialogo.
Una sintesi delle vulnerabilità è stata pubblicata qui da FrSIRT, mentre in questo advisory la società di sicurezza francese elenca le quattro vulnerabilità condivise anche da Thunderbird.

Firefox 3
Oggi Mozilla dovrebbe rilasciare la terza beta di Firefox 3, prima release dopo il code freeze del 29 gennaio: a partire da questa data le uniche modifiche apportate al browser riguardano la correzione di bug e il miglioramento delle funzionalità preesistenti.

Il team di sviluppo ha già pianificato il rilascio di una quarta beta intorno al 26 febbraio: oltre a correggere i bug dell'ultima ora, questa versione apporterà gli ultimi ritocchi all'interfaccia grafica e ai temi, e migliorerà il supporto alla navigazione offline, l'interfaccia dedicata alle impostazioni di sicurezza e la funzionalità Places.

Dal lancio della Beta 1 ad oggi, gli sviluppatori di Firefox 3 affermano di aver corretto oltre un migliaio di bug. La data di rilascio del nuovo browser resta fissata per "inizio 2008", che dovrebbe ormai tradursi in "inizio primavera".
142 Commenti alla Notizia Dieci cerottoni per Firefox
Ordina
  • appena ho installato l'aggiornamento è partita la connessione ad internet!!!!!!! nel senso che mi ha bloccato il collegamento anche attraverso internet expoler 7!!!
    lo trovo veramente grave considerando tutte le conseguenze che ho dovuto subire!!!!
    -----------------------------------------------------------
    Modificato dall' autore il 13 febbraio 2008 11.19
    -----------------------------------------------------------
    -----------------------------------------------------------
    Modificato dall' autore il 13 febbraio 2008 11.27
    -----------------------------------------------------------
  • Secono me un software se è open è più pericoloso.
    Un software per essere sicuro deve essere blindato.
    non+autenticato
  • - Scritto da: SIsso
    > Secono me un software se è open è più pericoloso.
    > Un software per essere sicuro deve essere
    > blindato.


    Non credo tu sia un troll...semplicemente parli di cose che non conosci.
    La politica del security by obscurity è un finto senso di sicurezza,il fatto di non conoscere un problema non vuol dire che non esista e che non possa essere sfruttato.
    Ti faccio un esempio facile facile....n vero sistema di crittografia è tale quando l'algoritmo è noto, e malgrado questo rimane inattaccabile. Pensa per esempio a RSA, DES, Blowfish, MD5... sono tutti algoritmi open source, così che tutti possono vedere se esistono delle falle concettuali.
    non+autenticato
  • Ma te paga Microsoft?   Sorride
    non+autenticato
  • UPDATE: nemmeno l’ultima versione del browser risolve la falla per l’accesso non autorizzato ai file. Anzi la peggiora
    http://www.megalab.it/news.php?id=1998
    non+autenticato
  • Noscript e risolvi tutto.
    non+autenticato
  • - Scritto da: Franco
    > Noscript e risolvi tutto.

    lynx, hai gli stessi risultati e non ti succhia giga di ram.
    non+autenticato
  • - Scritto da: Franco
    > Noscript e risolvi tutto.

    con noscript il 99,99% dei siti web non vanno più
    e comunque non è una soluzione perchè se anche usi noscript devi abilitare i siti che visit, e di conseguenza quei siti sarnno liberi di frugare nel tuo hard disk.
    non+autenticato
  • - Scritto da: ficus
    > - Scritto da: Franco
    > > Noscript e risolvi tutto.
    >
    > con noscript il 99,99% dei siti web non vanno più
    > e comunque non è una soluzione perchè se anche
    > usi noscript devi abilitare i siti che visit, e
    > di conseguenza quei siti sarnno liberi di frugare
    > nel tuo hard
    > disk.


    Non parlare di cose che non sai stolto...
    Hai mai usato firefox?hai mai usato noscript i ti basi solo sul suo nome?
    Siete una banda di dementi...parlate di un attacco sfruttando falle come se tutta la gente la fuori fosse hacker coi controcazzi.
    Ma ti credi che sia una cosa cosi semplice??
    Credi con explorer di essere pià al sicuro??
    Dai torna a giocare a campo minato va
    non+autenticato
  • Nella notizia si parla della beta3, che a quanto ho capito è stata saltata (non so perchè), e lo sviluppo è passato direttamente alla beta4 (non so come).

    Ed infatti io questa ho installato
    e finalmente places comincia a funzionare velocemente, ma hanno cambiato le icone in peggio
    non+autenticato
  • - Scritto da: io non parlo con gli utenti anonimi
    > Nella notizia si parla della beta3, che a quanto
    > ho capito è stata saltata (non so perchè), e lo
    > sviluppo è passato direttamente alla beta4 (non
    > so
    > come).

    non è stata saltata, esce nei prossimi giorni (ma forse anche oggi)

    > Ed infatti io questa ho installato
    > e finalmente places comincia a funzionare
    > velocemente, ma hanno cambiato le icone in
    > peggio

    non sono quelle definitive, ci si lavora ancora su, dopotutto c'è scritto BETA no?Sorride
    non+autenticato
  • ah! colpa mia che non avevo letto bene

    su un altro sito di informatica c'è un thread dedicato alla beta, tra i link c'è la beta1, la beta2 e la beta4 che però è la nigthly

    la beta3 non c'è perchè per inserirla aspettano che esca ufficialmente

    speriamo che a che ci sono integrino weaves e personas
    non+autenticato
  • Quello che spesso viene omesso quando si fanno comparative tra browser o software è la differenza tra chi fa open e closed. non è questione di fazioni, la questione è capire se la conoscenza aumenta o meno la sicurezza.

    Mozilla producendo un browser OS pubblica tutte le falle trovate e corrette, ora sappiamo che 10 problemi più o meno gravi sono stati sistemati.

    Altri produttori closed probabilmente potrebbero produrre patch "di sicurezza" o aggiornamenti, ma noi non sappiamo cosa c'è dentro, magari potrebbero aver sistemato 20 o 30 problemi di sicurezza, non lo sapremo mai.

    Quindi la questione è, per gli utenti è meglio sapere che c'erano dei problemi, o lasciarli all'oscuro? Alla fine una certa percentuale di utenti pensa che un programma sia più sicuro perchè non legge di "security advice" o gli viene detto che in 6 mesi è stata sistemata una sola falla. Per cui Firefox magicamente diventa insicuro perchè ad ogni release vengono sistemati dei problemi, mentre le patch di sicurezza degli altri browser non si sa cosa contengano (e non si sa quante ce ne siano aperte a nostra insaputa). Questo dimenticando che la percentuali di utenti che usa Firefox ed ha avuto problemi con spyware, adware, o con una qualsiasi falla è bassissima, basta guardarsi intorno.

    Questo FALSO senso di sicurezza è molto più pericoloso di qualsiasi falla possa esistere, ed è un fatto alquanto grave.
    non+autenticato
  • - Scritto da: mak77
    > Mozilla producendo un browser OS pubblica tutte
    > le falle trovate
    > [CUT su un mare di cazzate]

    open o closed non fa differenza, le falle le trovi analizzando il comportamento dell'eseguible non il sorgente.
    non+autenticato
  • - Scritto da: mak77
    > Mozilla producendo un browser OS pubblica tutte
    > le falle trovate e corrette

    chi ti dice che mozilla non corregga bug senza dire che si tratta di vulnerabilità? Tu leggendo il codice vedi solo che è stato corretto un bug, ma non sai se ha implicazioni che riguardano la sicurezza. Quindi open source non vuol affatto dire maggiore trasparenza.
    non+autenticato
  • - Scritto da: noncentra
    > - Scritto da: mak77
    > > Mozilla producendo un browser OS pubblica tutte
    > > le falle trovate e corrette
    >
    > chi ti dice che mozilla non corregga bug senza
    > dire che si tratta di vulnerabilità? Tu leggendo
    > il codice vedi solo che è stato corretto un bug,
    > ma non sai se ha implicazioni che riguardano la
    > sicurezza.

    come no. (?)

    < Quindi open source non vuol affatto
    > dire maggiore
    > trasparenza.

    il tuo ragionamento traballa un po'. se posso vedere il codice SO quanto e come quel bug incide sulla sicurezza.

    Se ci sono 20 bug in WMP o in iTunes che vengono spesso aggiornato "per correzzione di errori" non lo so

    perche' se il programma e' trasparente lo e', se e' proprietario non lo e'

    come puoi dire che un programma chiuso, e quindi non-trasparente al 100 per cento, sia piu trasparente di uno aperto? A bocca aperta

    Luca\S
  • - Scritto da: Luca Schiavoni
    > il tuo ragionamento traballa un po'. se posso
    > vedere il codice SO quanto e come quel bug incide
    > sulla
    > sicurezza.

    non è vero, perchè le falle di sicurezza occorre scoprirle, non basta leggere una correzione di un bug per capire che ha implicazioni sulla sicurezza. Magari fosse vero che basta leggere il codice per accorgersi di una vulnerabilità corretta o non...
    non+autenticato
  • [CUT]
    > non è vero, perchè le falle di sicurezza occorre
    > scoprirle, non basta leggere una correzione di un
    > bug per capire che ha implicazioni sulla
    > sicurezza. Magari fosse vero che basta leggere il
    > codice per accorgersi di una vulnerabilità
    > corretta o
    > non...

    In un software closed-source puoi solo fare test di tipo black-box, ovvero passare dei dati all'applicazione e vedere se il risultato che ottieni è coerente con le specifiche.

    In un software open-source (o comunque se si ha a disposizione il sorgente), oltre a test black-box si possono fare anche verifiche white-box direttamente dall'analisi del sorgente. Variabili "dimenticate", cicli superflui, funzioni e metodi che normalmente non vengono richiamati emergono con maggiore facilità...
  • - Scritto da: Luca Schiavoni
    > come puoi dire che un programma chiuso, e quindi
    > non-trasparente al 100 per cento, sia piu
    > trasparente di uno aperto?

    come puoi dire che l'exe che usi per installarti mozilla sia realmente il prodotto del codice sorgente pubblico? Potrebbe essere il prodotto di compilazione di un altro sorgente.
    non+autenticato
  • - Scritto da: fiesta
    > - Scritto da: Luca Schiavoni
    > > come puoi dire che un programma chiuso, e quindi
    > > non-trasparente al 100 per cento, sia piu
    > > trasparente di uno aperto?
    >
    > come puoi dire che l'exe che usi per installarti
    > mozilla sia realmente il prodotto del codice
    > sorgente pubblico? Potrebbe essere il prodotto di
    > compilazione di un altro
    > sorgente.

    Ti ricompili il sorgente ed ottieni il "tuo" exe. Se usi lo stesso compilatore con le stesse opzioni puoi anche fare la verifica dell'hash.
  • certo devi averne di tempo da perdere!
  • Si, quello che risparmio a non usare certi prodotti... Cylon
  • > Ti ricompili il sorgente ed ottieni il "tuo" exe.
    > Se usi lo stesso compilatore con le stesse
    > opzioni puoi anche fare la verifica
    > dell'hash.

    E chi ti dice che il tuo compilatore compili esattamente il codice sorgente che gli passi senza introdurre falle o backdoor?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 14 discussioni)